Сторонний код увеличивает уязвимость приложений

Четверг, 23 сентября 2010 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Поставщик средств безопасности Veracode в своем исследовании выяснил, что использование в приложении кода от сторонних разработчиков представляет большую угрозу для безопасности, сообщает Computerworld.

Многие компании используют библиотеки кода, разработанного либо в открытых проектах, либо на условиях аутсорсинга по контракту, говорит Джейсон Стир, программный архитектор Veracode. Сама компания Veracode специализируется на поиске уязвимостей в программном коде.

Согласно исследованию фирмы, от 30 до 70% кода в приложениях происходит от сторонних разработчиков, которые в 81% случаев не обеспечивают необходимый уровень безопасности. Говоря в целом, сторонние приложения обычно менее защищены, чем приложения, разработанные собственными силами.

"Это большая проблема для наших клиентов", – сказал Стир в среду на лондонском саммите Gartner Security and Risk Management.

Он проиллюстрировал эту проблему на примере Twitter, в котором во вторник на этой неделе была обнаружена кросс-сайтовая ошибка скрипта. Сторонний код активировал функцию JavaScript под названием onmouseover. С помощью такой функции злоумышленник вполне способен перенаправить пользователя на вредоносный сайт.

По словам Стира, компании могут самостоятельно разработать приложение, но использовать при этом библиотеки, разработанные на стороне. При использовании такого кода усложняется задача тестирования приложения, объясняет Стир.

"И внутренние, и сторонние компоненты и приложения должны подвергаться одинаковым проверкам безопасности для обеспечения единого уровня безопасности по всему портфелю приложений, – рекомендуется в отчете Veracode. – В контрактах с поставщиками аутсорсингового и коммерческого ПО должна обязательно оговариваться возможность осуществления независимых тестов на безопасность и минимальные приемлемые критерии безопасности".

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 830
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003