Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > 50% крупнейших корпораций используют уязвимые Open Source-компоненты

50% крупнейших корпораций используют уязвимые Open Source-компоненты

Пятница, 30 марта 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

По результатам исследования, совместно проведенного компаниями Sonatype и Aspect Security, более половины корпораций, входящих в Fortune 500, загружают и используют в своем программном обеспечении Open Source-компоненты, библиотеки и веб-фреймворки, содержащие уязвимости.

Отчёт был составлен на основе опроса 2 550 разработчиков, системных архитекторов и аналитиков. Исследователи утверждают, что более 80% программного обеспечения, разрабатываемого внутри корпораций, содержит в себе Open Source-компоненты, которые могут быть уязвимы для атак. Этот факт зачастую игнорируется сторонниками программного обеспечения с открытым кодом. Кроме того, по мнению исследователей, защитники Open Source часто «упускают из вида недостатки инфраструктуры», главным из которых является отсутствие систем уведомлений об уязвимостях и их исправлениях.

«80% кода в сегодняшних приложениях составляют библиотеки и фреймворки. Риск уязвимостей в этих компонентах широко игнорируется и недооценивается», - пишут Джефф Уильямс (Jeff Williams), генеральный директор, и Аршан Дабирсьяхи (Arshan Dabirsiaghi), главный аналитик Aspect Security.

Исследователи проанализировали ряд популярных в корпоративной среде фреймворков и компонентов (всего 31) и установили, что 37% из них содержат в себе уязвимости, входящие в базы данных Common Vulnerabilities and Exposures (CVE) и Open Source Vulnerability Database (OSVDB). При этом, число уязвимостей в самых популярных из них оказалось всего на 10% меньше, чем в тех, которые использются реже.

В качестве примеров уязвимых компонентов аналитики назвали Google Web Toolkit, Spring MVC, Struts 1.X. и Hibernate. По данным отчёта, на сегодняшний день эти продукты загружены более 46 миллионов раз, а Struts 2, содержащий критическую уязвимость, имеет более миллиона загрузок от 18 000 корпораций.

Кроме того, в отчете сообщается, что всего 32% организаций-респондентов имеют инструменты для отслеживания зависимостей своих приложений. Это «усложняет решение проблемы, когда обнаруживается новая узявимость», утверждают исследователи.

«Результаты данного исследования должны послужить сигналом для организаций, которые разрабатывают ПО, имеющее критическую функциональность для бизнеса», - подвела итог Aspect Security.

Исследование вызвало шквал критики со стороны Open Source-разработчиков. Так, Рене Джилен (Rene Gielen) из комитета по управлению Apache Struts выразил сомнение, что автоматическое оповещение об исправлениях решит проблему.

«Нам хотелось бы внести одно уточнение: в отличие от десктопных приложений, для того вида продуктов, которые производим мы, автоматические уведомления не подходят, - заявил разработчик Struts. - Куда именно серверное приложение, веб-фреймворк типа Struts или даже библиотека будут отправлять информацию такого рода? Как они смогут передавать оповещения, если большинство корпоративных пользователей, установив продукт, ограничивают ему доступ в интернет?»

Марк Томас (Mark Thomas) из комитета по управлению Apache Tomcat согласился, что опублкиованные в отчете Sonatype и Aspect Security цифры вполне ожидаемые и относятся к проприетарному ПО не в меньшей степени, чем к открытому. При этом, добавил он, риски от использования уязвимых компонентов не столь велики, как пытаются представить аналитики. Корпоративные пользователи, опасаясь затрат, как правило, редко обновляют ПО, предпочитая блокировать уязвимости при помощи настроек.

Эндрю Эйткен (Andrew Aitken), основатель компании Olliance Group, специализирующейся на Open Source-консультациях, возразил, что называть открытое ПО низкокачественным на такой основе некорректно.

«Любое ПО имеет уязвимости. Данное исследование не проводит сравнения между открытым и закрытым кодом. Оно просто заявляет, что для открытого ПО есть некий "х". Между тем, существует много исследований, которые установили, что качество кода СПО намного выше остального кода», - отметил он. В качестве примера Эйткен привел исследование компании Coverity 2010 г., установившее, что плотность ошибок в открытом коде почти в четыре раза ниже, чем по софтверной индустрии в целом.

Обе компании, проводившие исследование, ведут непосредственную разработку средств компьютерной безопасности. Aspect Security является основателем Open Web Application Security Project, открытой международной организации, в рамках которой создаются средства безопасности веб-приложений. Sonatype, в свою очередь, продвигает продукт для отслеживания уязвимостей в программных компонентах — Nexus Intelligent Repository Manager.

Между тем, руководители обеих компаний сами являются сторонниками открытого ПО. Джефф Уильямс и Уэйн Джексон (Wayne Jackson) — гендиректор Sonatype и бывший директор Sourcefire, Open Source-проекта по сетевой безопасности — поспешили отреагировать на критику, особенно отметив этот факт.

«Мы ни в коем случае не утверждаем, что Open Source-продукты низкокачественны, - возражают они. - В конце концов, Sonatype — компания, основанная Open Source-разработчиками и активный участник сообщества; мы поддерживаем такие проекты как Apache Maven, M2Eclipse, Nexus и Tyco, и твёрдо верим в превосходство открытого ПО».

Аналитики объясняют: они не ставили своей целью сравнение открытого и закрытого кода. Своим исследованием компании лишь хотят подчеркнуть, что есть некоторые риски, которые корпорации просто не могут игнорировать. Отсутствие автоматического оповещения об исправлениях — один из них.

Sonatype уже попыталась решить эту проблему в рамках проекта Apache Maven, запустив Central Repository — систему поиска и отслеживания обновления компонентов проекта. Именно наблюдение за активностью внутри Central Repository подтолкнуло к компанию к исследованию такого рода.

«Мы попытались определить, как программные компоненты ("кирпичики", из которых строится любое современное приложение) используются в организациях для создания ПО, - поясняют руководители исследования. - Это позволяет поднять вопрос о том, нужны ли более интеллектуальные средства отслеживания изменений в этих компонентах».

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 272
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

17: 01
Super Mario Run не будет работать без интернета |
17: 01
Баскетбольный мяч против законов физики |
17: 01
Land Rover построил дом для Санта-Клауса |
17: 01
«Азбука вкуса» и «Афиша-Еда» запустили сервис для доставки ингредиентов по рецептам журнала |
13: 01
Как очистить автомобильные коврики от соли |
13: 01
На выпуск устройства Lief, помогающего справляться со стрессом за счет ритмичного дыхания, уже собрано вдвое больше средств, чем намечалось |
13: 01
Китайские производители смартфонов за год нарастили поставки на 18,6% |
13: 01
Безрамочный смартфон Elephone S8 будет оснащен SoC Helio X27 |
12: 21
«Твоё Имя» обошло по сборам «Ходячий Замок» |
12: 21
LG V5? На «рендерах» нехарактерный для линейки V дизайн |
12: 21
Надёжность OpenVPN будет проверена в ходе аудита |
12: 21
Стоимость памяти DRAM продолжит расти |
12: 21
Головное устройство Sony XAV-AX100 с поддержкой Apple CarPlay и Android Auto поступило в продажу с небольшой задержкой |
12: 21
Сравнение Crash Bandicoot N Sane Trilogy с оригиналом |
11: 41
Начинается Шестая Вебмастерская. Присоединяйтесь! |
11: 41
Участникам «Снято на iPhone» прислали фотоальбомы с их работами |
11: 41
S7 Airlines предложила подписчикам стать пилотами планетохода и выиграть авиабилеты |
11: 41
Связанные с владельцами «Техносилы» инвесторы выкупили «Эльдорадо» |
11: 41
Патенты Samsung демонстрируют дрон необычной формы |
11: 41
Полиция Нидерландов следом за орлами возьмет на вооружение Microsoft HoloLens |
11: 41
Cortana научилась выключать PC и делать перезагрузку |
11: 21
В магазине Google Store больше нельзя купить часы Huawei Watch |
11: 21
По слухам, LeEco увольняет около 1400 сотрудников |
11: 21
Смартфоном Geotel A1 можно колоть орехи |
11: 21
Super Mario Run показали в новом видео |
11: 21
«Ростелеком» сообщил об отражении кибератаки на пять крупнейших банков |
11: 21
«Почта России» решила отправлять мелкие посылки в Якутию |
11: 21
Sony постарается первой вслед за Google выпустить обновление Android 7.1.1 для своих мобильных устройств |
11: 21
В беспилотном Rinspeed Oasis используются российские технологии |
11: 01
Samsung заблокирует смартфоны Galaxy Note7 в США уже на следующей неделе |
11: 01
Корпус Raidmax Alpha оснащен пультом ДУ |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003