Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > 50% крупнейших корпораций используют уязвимые Open Source-компоненты

50% крупнейших корпораций используют уязвимые Open Source-компоненты

Пятница, 30 марта 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

По результатам исследования, совместно проведенного компаниями Sonatype и Aspect Security, более половины корпораций, входящих в Fortune 500, загружают и используют в своем программном обеспечении Open Source-компоненты, библиотеки и веб-фреймворки, содержащие уязвимости.

Отчёт был составлен на основе опроса 2 550 разработчиков, системных архитекторов и аналитиков. Исследователи утверждают, что более 80% программного обеспечения, разрабатываемого внутри корпораций, содержит в себе Open Source-компоненты, которые могут быть уязвимы для атак. Этот факт зачастую игнорируется сторонниками программного обеспечения с открытым кодом. Кроме того, по мнению исследователей, защитники Open Source часто «упускают из вида недостатки инфраструктуры», главным из которых является отсутствие систем уведомлений об уязвимостях и их исправлениях.

«80% кода в сегодняшних приложениях составляют библиотеки и фреймворки. Риск уязвимостей в этих компонентах широко игнорируется и недооценивается», - пишут Джефф Уильямс (Jeff Williams), генеральный директор, и Аршан Дабирсьяхи (Arshan Dabirsiaghi), главный аналитик Aspect Security.

Исследователи проанализировали ряд популярных в корпоративной среде фреймворков и компонентов (всего 31) и установили, что 37% из них содержат в себе уязвимости, входящие в базы данных Common Vulnerabilities and Exposures (CVE) и Open Source Vulnerability Database (OSVDB). При этом, число уязвимостей в самых популярных из них оказалось всего на 10% меньше, чем в тех, которые использются реже.

В качестве примеров уязвимых компонентов аналитики назвали Google Web Toolkit, Spring MVC, Struts 1.X. и Hibernate. По данным отчёта, на сегодняшний день эти продукты загружены более 46 миллионов раз, а Struts 2, содержащий критическую уязвимость, имеет более миллиона загрузок от 18 000 корпораций.

Кроме того, в отчете сообщается, что всего 32% организаций-респондентов имеют инструменты для отслеживания зависимостей своих приложений. Это «усложняет решение проблемы, когда обнаруживается новая узявимость», утверждают исследователи.

«Результаты данного исследования должны послужить сигналом для организаций, которые разрабатывают ПО, имеющее критическую функциональность для бизнеса», - подвела итог Aspect Security.

Исследование вызвало шквал критики со стороны Open Source-разработчиков. Так, Рене Джилен (Rene Gielen) из комитета по управлению Apache Struts выразил сомнение, что автоматическое оповещение об исправлениях решит проблему.

«Нам хотелось бы внести одно уточнение: в отличие от десктопных приложений, для того вида продуктов, которые производим мы, автоматические уведомления не подходят, - заявил разработчик Struts. - Куда именно серверное приложение, веб-фреймворк типа Struts или даже библиотека будут отправлять информацию такого рода? Как они смогут передавать оповещения, если большинство корпоративных пользователей, установив продукт, ограничивают ему доступ в интернет?»

Марк Томас (Mark Thomas) из комитета по управлению Apache Tomcat согласился, что опублкиованные в отчете Sonatype и Aspect Security цифры вполне ожидаемые и относятся к проприетарному ПО не в меньшей степени, чем к открытому. При этом, добавил он, риски от использования уязвимых компонентов не столь велики, как пытаются представить аналитики. Корпоративные пользователи, опасаясь затрат, как правило, редко обновляют ПО, предпочитая блокировать уязвимости при помощи настроек.

Эндрю Эйткен (Andrew Aitken), основатель компании Olliance Group, специализирующейся на Open Source-консультациях, возразил, что называть открытое ПО низкокачественным на такой основе некорректно.

«Любое ПО имеет уязвимости. Данное исследование не проводит сравнения между открытым и закрытым кодом. Оно просто заявляет, что для открытого ПО есть некий "х". Между тем, существует много исследований, которые установили, что качество кода СПО намного выше остального кода», - отметил он. В качестве примера Эйткен привел исследование компании Coverity 2010 г., установившее, что плотность ошибок в открытом коде почти в четыре раза ниже, чем по софтверной индустрии в целом.

Обе компании, проводившие исследование, ведут непосредственную разработку средств компьютерной безопасности. Aspect Security является основателем Open Web Application Security Project, открытой международной организации, в рамках которой создаются средства безопасности веб-приложений. Sonatype, в свою очередь, продвигает продукт для отслеживания уязвимостей в программных компонентах — Nexus Intelligent Repository Manager.

Между тем, руководители обеих компаний сами являются сторонниками открытого ПО. Джефф Уильямс и Уэйн Джексон (Wayne Jackson) — гендиректор Sonatype и бывший директор Sourcefire, Open Source-проекта по сетевой безопасности — поспешили отреагировать на критику, особенно отметив этот факт.

«Мы ни в коем случае не утверждаем, что Open Source-продукты низкокачественны, - возражают они. - В конце концов, Sonatype — компания, основанная Open Source-разработчиками и активный участник сообщества; мы поддерживаем такие проекты как Apache Maven, M2Eclipse, Nexus и Tyco, и твёрдо верим в превосходство открытого ПО».

Аналитики объясняют: они не ставили своей целью сравнение открытого и закрытого кода. Своим исследованием компании лишь хотят подчеркнуть, что есть некоторые риски, которые корпорации просто не могут игнорировать. Отсутствие автоматического оповещения об исправлениях — один из них.

Sonatype уже попыталась решить эту проблему в рамках проекта Apache Maven, запустив Central Repository — систему поиска и отслеживания обновления компонентов проекта. Именно наблюдение за активностью внутри Central Repository подтолкнуло к компанию к исследованию такого рода.

«Мы попытались определить, как программные компоненты ("кирпичики", из которых строится любое современное приложение) используются в организациях для создания ПО, - поясняют руководители исследования. - Это позволяет поднять вопрос о том, нужны ли более интеллектуальные средства отслеживания изменений в этих компонентах».

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 318
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

16: 20
Оператор «Тинькофф Мобайл» заработает 13 декабря |
16: 20
Фото: Meizu 15 Plus — безрамочный флагман от китайского производителя |
16: 20
AliExpress срочно потребовал ИНН у российских покупателей |
16: 20
Porsche начала продавать фирменный... мёд |
16: 00
Продвижение мобильных приложений: видеореклама в приоритете |
15: 40
Чикагская биржа опционов запустила торговлю биткоин-фьючерсами |
15: 20
Toshiba могут убедить не продавать полупроводниковое производство |
15: 20
Цифра дня: Сколько заплатит Apple за Shazam? |
15: 20
Через 2 дня Тинькофф запустит собственного сотового оператора |
15: 00
Страхи и предпочтения стартаперов в 2017 году |
13: 40
Всего за месяц производственный партнер Apple заработал 18,5 млрд долларов |
13: 40
Почта Mail.Ru научилась подсказывать ответы |
13: 20
Сейф с Bluetooth взломали по Bluetooth. Кто бы мог подумать |
13: 20
Bugatti отзывает все выпущенные гиперкары Chiron |
13: 20
Блоки питания Corsair VS мощностью от 350 до 650 Вт относятся к бюджетному сегменту |
13: 20
LG начнет отгрузки 65- и 75-дюймовых ЖК-панелей компании Samsung уже в декабре |
13: 00
Улучшенные сканеры радужной оболочки глаза появятся в бюджетных смартфонах Samsung |
13: 00
Смартфоны OnePlus, включая новейший OnePlus 5T, не поддерживают стриминг HD-видео из популярных сервисов |
12: 40
ScummVM 2.0.0 /* подождать анонса на scummvm.org 2017-12-17 */ |
12: 40
Munt 2.2.0 |
12: 40
Левшей и правшей различили до рождения |
12: 20
«Билайн» раздаст облако Microsoft своим бизнес-клиентам |
12: 20
Смартфоны и ноутбуки Apple могут существенно снижать свою производительность при износе аккумулятора |
12: 20
Появилось описание еще одного концепта смартфона Samsung со сгибающимся дисплеем |
11: 40
Смартфон Sharp FS8018 протестирован в Geekbench |
11: 40
Роботы для маникюра, нитиноловый двигатель и плазменная пушка: «домашние видео» |
11: 20
Вышел PPSSPP 1.5.4 — эмулятор Sony PlayStation Portable |
10: 20
Powerbeats 3. Мои любимые беспроводные наушники |
10: 20
В Чикаго начались торги фьючерсами на биткоины: что это значит для рынка |
09: 20
Toyota научилась видеть пешеходов ночью |
08: 40
В список умных часов, которые получат обновление до Android Wear Oreo, входит 30 моделей |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Март 2014: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31