Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > 50% крупнейших корпораций используют уязвимые Open Source-компоненты

50% крупнейших корпораций используют уязвимые Open Source-компоненты

Пятница, 30 марта 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

По результатам исследования, совместно проведенного компаниями Sonatype и Aspect Security, более половины корпораций, входящих в Fortune 500, загружают и используют в своем программном обеспечении Open Source-компоненты, библиотеки и веб-фреймворки, содержащие уязвимости.

Отчёт был составлен на основе опроса 2 550 разработчиков, системных архитекторов и аналитиков. Исследователи утверждают, что более 80% программного обеспечения, разрабатываемого внутри корпораций, содержит в себе Open Source-компоненты, которые могут быть уязвимы для атак. Этот факт зачастую игнорируется сторонниками программного обеспечения с открытым кодом. Кроме того, по мнению исследователей, защитники Open Source часто «упускают из вида недостатки инфраструктуры», главным из которых является отсутствие систем уведомлений об уязвимостях и их исправлениях.

«80% кода в сегодняшних приложениях составляют библиотеки и фреймворки. Риск уязвимостей в этих компонентах широко игнорируется и недооценивается», - пишут Джефф Уильямс (Jeff Williams), генеральный директор, и Аршан Дабирсьяхи (Arshan Dabirsiaghi), главный аналитик Aspect Security.

Исследователи проанализировали ряд популярных в корпоративной среде фреймворков и компонентов (всего 31) и установили, что 37% из них содержат в себе уязвимости, входящие в базы данных Common Vulnerabilities and Exposures (CVE) и Open Source Vulnerability Database (OSVDB). При этом, число уязвимостей в самых популярных из них оказалось всего на 10% меньше, чем в тех, которые использются реже.

В качестве примеров уязвимых компонентов аналитики назвали Google Web Toolkit, Spring MVC, Struts 1.X. и Hibernate. По данным отчёта, на сегодняшний день эти продукты загружены более 46 миллионов раз, а Struts 2, содержащий критическую уязвимость, имеет более миллиона загрузок от 18 000 корпораций.

Кроме того, в отчете сообщается, что всего 32% организаций-респондентов имеют инструменты для отслеживания зависимостей своих приложений. Это «усложняет решение проблемы, когда обнаруживается новая узявимость», утверждают исследователи.

«Результаты данного исследования должны послужить сигналом для организаций, которые разрабатывают ПО, имеющее критическую функциональность для бизнеса», - подвела итог Aspect Security.

Исследование вызвало шквал критики со стороны Open Source-разработчиков. Так, Рене Джилен (Rene Gielen) из комитета по управлению Apache Struts выразил сомнение, что автоматическое оповещение об исправлениях решит проблему.

«Нам хотелось бы внести одно уточнение: в отличие от десктопных приложений, для того вида продуктов, которые производим мы, автоматические уведомления не подходят, - заявил разработчик Struts. - Куда именно серверное приложение, веб-фреймворк типа Struts или даже библиотека будут отправлять информацию такого рода? Как они смогут передавать оповещения, если большинство корпоративных пользователей, установив продукт, ограничивают ему доступ в интернет?»

Марк Томас (Mark Thomas) из комитета по управлению Apache Tomcat согласился, что опублкиованные в отчете Sonatype и Aspect Security цифры вполне ожидаемые и относятся к проприетарному ПО не в меньшей степени, чем к открытому. При этом, добавил он, риски от использования уязвимых компонентов не столь велики, как пытаются представить аналитики. Корпоративные пользователи, опасаясь затрат, как правило, редко обновляют ПО, предпочитая блокировать уязвимости при помощи настроек.

Эндрю Эйткен (Andrew Aitken), основатель компании Olliance Group, специализирующейся на Open Source-консультациях, возразил, что называть открытое ПО низкокачественным на такой основе некорректно.

«Любое ПО имеет уязвимости. Данное исследование не проводит сравнения между открытым и закрытым кодом. Оно просто заявляет, что для открытого ПО есть некий "х". Между тем, существует много исследований, которые установили, что качество кода СПО намного выше остального кода», - отметил он. В качестве примера Эйткен привел исследование компании Coverity 2010 г., установившее, что плотность ошибок в открытом коде почти в четыре раза ниже, чем по софтверной индустрии в целом.

Обе компании, проводившие исследование, ведут непосредственную разработку средств компьютерной безопасности. Aspect Security является основателем Open Web Application Security Project, открытой международной организации, в рамках которой создаются средства безопасности веб-приложений. Sonatype, в свою очередь, продвигает продукт для отслеживания уязвимостей в программных компонентах — Nexus Intelligent Repository Manager.

Между тем, руководители обеих компаний сами являются сторонниками открытого ПО. Джефф Уильямс и Уэйн Джексон (Wayne Jackson) — гендиректор Sonatype и бывший директор Sourcefire, Open Source-проекта по сетевой безопасности — поспешили отреагировать на критику, особенно отметив этот факт.

«Мы ни в коем случае не утверждаем, что Open Source-продукты низкокачественны, - возражают они. - В конце концов, Sonatype — компания, основанная Open Source-разработчиками и активный участник сообщества; мы поддерживаем такие проекты как Apache Maven, M2Eclipse, Nexus и Tyco, и твёрдо верим в превосходство открытого ПО».

Аналитики объясняют: они не ставили своей целью сравнение открытого и закрытого кода. Своим исследованием компании лишь хотят подчеркнуть, что есть некоторые риски, которые корпорации просто не могут игнорировать. Отсутствие автоматического оповещения об исправлениях — один из них.

Sonatype уже попыталась решить эту проблему в рамках проекта Apache Maven, запустив Central Repository — систему поиска и отслеживания обновления компонентов проекта. Именно наблюдение за активностью внутри Central Repository подтолкнуло к компанию к исследованию такого рода.

«Мы попытались определить, как программные компоненты ("кирпичики", из которых строится любое современное приложение) используются в организациях для создания ПО, - поясняют руководители исследования. - Это позволяет поднять вопрос о том, нужны ли более интеллектуальные средства отслеживания изменений в этих компонентах».

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 301
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Старушка метнула монеты в движок самолёта и сорвала полёт |
18: 20
Появились первые тесты 3D-карт Nvidia P106-100 для майнинга |
18: 20
Motorola официально вернулась на российский рынок |
18: 20
Скидка 100%: 5 временно бесплатных приложений |
18: 20
Противостояние Porsche и Tesla на дороге: видео |
17: 40
Toshiba планирует инвестировать 1,6 млрд долларов в фабрику Fab 6 |
17: 40
Спиннер против раскалённого гидравлического пресса |
17: 40
Роскомнадзор согласился внести Telegram в реестр организаторов распространения информации |
17: 20
Основатель интернет-магазина KupiVIP Оскар Хартманн вошёл в совет директоров «Альфа-банка» |
17: 00
Первый раз в Питере. Куда сходить и что делать? |
16: 20
Исследователи "отложили" восстановление озонового слоя на 30 лет |
16: 00
Xiaomi перекрасила смартфон Mi Max 2 в черный цвет |
16: 00
Тонкий игровой ноутбук ASUS ROG Zephyrus доступен для приобретения |
16: 00
Смартфон Moto Z2 Play обзавелся российской ценой |
16: 00
Getac A140 — защищенный планшет с большим экраном |
16: 00
Анонсирован умный браслет Huawei Honor Band 3 |
16: 00
Intel отправила накопители 545s в продажу |
16: 00
Бренд Lexar остался в прошлом |
16: 00
В 2020 году Apple выпустит очки дополненной реальности — аналитик |
16: 00
Кладбище «единорогов»: почему инвестиции в борьбу с болезнью Альцгеймера так часто сгорают |
15: 40
Ericsson отказывается от выхода за пределы рынка телекоммуникационного оборудования |
15: 40
Юбилейная распродажа в интернет-магазине TomTop |
15: 40
Qualcomm представила экранный сканер отпечатков пальцев |
15: 40
Госдуме предложили отменить внутренний роуминг по России |
15: 40
Qualcomm сделала сканер отпечатков в дисплее. Ждём в iPhone 8 |
15: 00
В этом году ожидается выпуск объектива Nikon AF-S Nikkor 200-400mm f/4E ED VR |
15: 00
Apple перестала подписывать iOS 10.3.1, откатиться на предыдущую версию невозможно |
14: 40
Госдума может отменить роуминг по России |
13: 40
Спрос на видеокарты для добытчиков криптовалюты позволит Gigabyte нарастить продажи во втором и третьем кварталах 2017 |
13: 40
В Diablo III вышло дополнение «Возвращение некроманта» |
13: 00
Футзальный мяч — это вам не футбольный мячик! |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003