Поделиться
50% крупнейших корпораций используют уязвимые Open Source-компоненты
По результатам исследования, совместно проведенного компаниями Sonatype и Aspect Security, более половины корпораций, входящих в Fortune 500, загружают и используют в своем программном обеспечении Open Source-компоненты, библиотеки и веб-фреймворки, содержащие уязвимости.Отчёт был составлен на основе опроса 2 550 разработчиков, системных архитекторов и аналитиков. Исследователи утверждают, что более 80% программного обеспечения, разрабатываемого внутри корпораций, содержит в себе Open Source-компоненты, которые могут быть уязвимы для атак. Этот факт зачастую игнорируется сторонниками программного обеспечения с открытым кодом. Кроме того, по мнению исследователей, защитники Open Source часто «упускают из вида недостатки инфраструктуры», главным из которых является отсутствие систем уведомлений об уязвимостях и их исправлениях.
«80% кода в сегодняшних приложениях составляют библиотеки и фреймворки. Риск уязвимостей в этих компонентах широко игнорируется и недооценивается», - пишут Джефф Уильямс (Jeff Williams), генеральный директор, и Аршан Дабирсьяхи (Arshan Dabirsiaghi), главный аналитик Aspect Security.
Исследователи проанализировали ряд популярных в корпоративной среде фреймворков и компонентов (всего 31) и установили, что 37% из них содержат в себе уязвимости, входящие в базы данных Common Vulnerabilities and Exposures (CVE) и Open Source Vulnerability Database (OSVDB). При этом, число уязвимостей в самых популярных из них оказалось всего на 10% меньше, чем в тех, которые использются реже.
В качестве примеров уязвимых компонентов аналитики назвали Google Web Toolkit, Spring MVC, Struts 1.X. и Hibernate. По данным отчёта, на сегодняшний день эти продукты загружены более 46 миллионов раз, а Struts 2, содержащий критическую уязвимость, имеет более миллиона загрузок от 18 000 корпораций.
Кроме того, в отчете сообщается, что всего 32% организаций-респондентов имеют инструменты для отслеживания зависимостей своих приложений. Это «усложняет решение проблемы, когда обнаруживается новая узявимость», утверждают исследователи.
«Результаты данного исследования должны послужить сигналом для организаций, которые разрабатывают ПО, имеющее критическую функциональность для бизнеса», - подвела итог Aspect Security.
Исследование вызвало шквал критики со стороны Open Source-разработчиков. Так, Рене Джилен (Rene Gielen) из комитета по управлению Apache Struts выразил сомнение, что автоматическое оповещение об исправлениях решит проблему.
«Нам хотелось бы внести одно уточнение: в отличие от десктопных приложений, для того вида продуктов, которые производим мы, автоматические уведомления не подходят, - заявил разработчик Struts. - Куда именно серверное приложение, веб-фреймворк типа Struts или даже библиотека будут отправлять информацию такого рода? Как они смогут передавать оповещения, если большинство корпоративных пользователей, установив продукт, ограничивают ему доступ в интернет?»
Марк Томас (Mark Thomas) из комитета по управлению Apache Tomcat согласился, что опублкиованные в отчете Sonatype и Aspect Security цифры вполне ожидаемые и относятся к проприетарному ПО не в меньшей степени, чем к открытому. При этом, добавил он, риски от использования уязвимых компонентов не столь велики, как пытаются представить аналитики. Корпоративные пользователи, опасаясь затрат, как правило, редко обновляют ПО, предпочитая блокировать уязвимости при помощи настроек.
Эндрю Эйткен (Andrew Aitken), основатель компании Olliance Group, специализирующейся на Open Source-консультациях, возразил, что называть открытое ПО низкокачественным на такой основе некорректно.
«Любое ПО имеет уязвимости. Данное исследование не проводит сравнения между открытым и закрытым кодом. Оно просто заявляет, что для открытого ПО есть некий "х". Между тем, существует много исследований, которые установили, что качество кода СПО намного выше остального кода», - отметил он. В качестве примера Эйткен привел исследование компании Coverity 2010 г., установившее, что плотность ошибок в открытом коде почти в четыре раза ниже, чем по софтверной индустрии в целом.
Обе компании, проводившие исследование, ведут непосредственную разработку средств компьютерной безопасности. Aspect Security является основателем Open Web Application Security Project, открытой международной организации, в рамках которой создаются средства безопасности веб-приложений. Sonatype, в свою очередь, продвигает продукт для отслеживания уязвимостей в программных компонентах — Nexus Intelligent Repository Manager.
Между тем, руководители обеих компаний сами являются сторонниками открытого ПО. Джефф Уильямс и Уэйн Джексон (Wayne Jackson) — гендиректор Sonatype и бывший директор Sourcefire, Open Source-проекта по сетевой безопасности — поспешили отреагировать на критику, особенно отметив этот факт.
«Мы ни в коем случае не утверждаем, что Open Source-продукты низкокачественны, - возражают они. - В конце концов, Sonatype — компания, основанная Open Source-разработчиками и активный участник сообщества; мы поддерживаем такие проекты как Apache Maven, M2Eclipse, Nexus и Tyco, и твёрдо верим в превосходство открытого ПО».
Аналитики объясняют: они не ставили своей целью сравнение открытого и закрытого кода. Своим исследованием компании лишь хотят подчеркнуть, что есть некоторые риски, которые корпорации просто не могут игнорировать. Отсутствие автоматического оповещения об исправлениях — один из них.
Sonatype уже попыталась решить эту проблему в рамках проекта Apache Maven, запустив Central Repository — систему поиска и отслеживания обновления компонентов проекта. Именно наблюдение за активностью внутри Central Repository подтолкнуло к компанию к исследованию такого рода.
«Мы попытались определить, как программные компоненты ("кирпичики", из которых строится любое современное приложение) используются в организациях для создания ПО, - поясняют руководители исследования. - Это позволяет поднять вопрос о том, нужны ли более интеллектуальные средства отслеживания изменений в этих компонентах».
Короткая ссылка
