50% крупнейших мировых предприятий используют уязвимое ПО с открытым кодом

image

Теги: приложение, уязвимость, компания

Причиной такой статистики является отсутствие в открытых приложениях системы уведомлений для разработчиков об обнаруженной уязвимости.

В результате проведенного компаниями Sonatype и Aspect Security исследования было установлено, что 50% крупнейших предприятий, которые входят в список Fortune 500, используют приложения, разработанные на уязвимых версиях фреймворков и библиотек. 

Авторы исследования сообщили: «80% исходного кода современных приложений основывается на фреймворках и библиотеках. Риск существования уязвимостей в этих компонентах часто игнорируется и недооценивается».

После анализа 113 миллионов приложений, скаченных 60 тысячами коммерческими, государственными и некоммерческими организациями, было установлено, что 46% из них содержали уязвимые библиотеки и фреймворки, в частности Google Web Toolkit, Spring MVC, Struts 1.X и Hibernate. Фреймворк Struts 2, который содержал критическую уязвимость, был скачен более 18 тысяч раз.

Исследование также показало, что 37%  наиболее популярных открытых компонентов содержали публично известные уязвимости. Стоит отметить, что за своевременным обновлением используемых предприятиями открытых библиотек и фреймворков следят лишь 32% компаний.

По мнению авторов исследования, причиной такого развития событий является отсутствие в открытых приложениях уведомлений для разработчиков об обнаруженной уязвимости, а также отсутствие автоматических обновлений.

Подробно с исследованием можно ознакомиться здесь .


или введите имя

CAPTCHA
RU_LIDS
27-03-2012 17:16:12
Это конечно все туфта. За актуальностью библиотек следят производители дистрибутивов, которые безусловно профессиональнее отдельно взятого админа Васи. Настоящая же беда с теми разработчиками софта, которые вместо самих библиотек используют копипаст из тех же библиотек. Ну и естественно, когда библиотека обновляется, то копипастный код не обновляется. Одна радость, что так поступают, как правило виндозные разработчики.
0 |
Itis
28-03-2012 05:50:42
Одна радость, что так поступают, как правило виндозные разработчики. Естесвенно, всегда виноваты виндузятники, а то, что новость про "опен соурс" вы не заметелили. ИМХО, говнокодеры везде есть, а тем более в "опен соурс" из-за большей доступности.
0 |
40217
28-03-2012 11:00:47
В опенсурс говнокодить стыдно, засмеют когда увидят. А вендузятникам чего боятся, код не увидит не кто, если не сопрут.
0 |
RU_LIDS
28-03-2012 11:09:48
Я говорил не совсем о теме новости. С новостью все понятно. Если ты в проекте используешь исходники библиотек, то будь добр следить за обновлениями. Если сам не можешь, то используй библиотеки из дистрибутива, которые своевременно обновляются. Я же говорил не о использовании самих библиотек, а о копипасте кода библиотек. А это не юникс вэй. Так чаще делают виндузятники. Из опенстрса, как я знаю, так поступает, к примеру, Mozilla, которой нужна кроссплатформенность, а под windoze некоторых библиотек просто нет, либо придется ставить на windoze вместе с браузером целую кучу библиотек, которые для linux стандартные, а для windoze нет. Так вот отслеживание такого копипаста - вот настоящая проблема.
0 |
Вьшекн
28-03-2012 11:13:20
Перечисленные библиотеки и фреймворки созданы для web приложений и сайтов и являются их частью. Менеджеры пакетов в Linux не могут их обновлять. Почему - понятно: совместимость может быть наружена, а протестировать разработчики библиотеки не могут - сайты компаний (из Fortune 500) Fortune 500Подробнее: http://www.securitylab.ru/news/422188.php же не опенсорсные. также хочу заметить что компания Sonatype которая производила данное исследование -SonatypeПодробнее: http://www.securitylab.ru/news/422188.php SonatypeПодробнее: http://www.securitylab.ru/news/422188.php SonatypeПодробнее: http://www.securitylab.ru/news/422188.php разработчик maven -системы для управлениями зависимостями в java приложениях. у неё есть свой центральный репозиторий.
0 |
RU_LIDS
28-03-2012 11:40:43
Менеджер пакетов может обновить и библиотеку и фреймворк. Хотя это действительно может нарушить совместимость. Но чаще не используют дистрибутивные библиотеки по причине их катастрофической старости в сравнении с гитами разработчиков либ. Но только вот Sonatype лукаво не анализировала факты самостоятельного наложения патчей и применения других костылей программистами сайтов компаний, вынужденных оставаться на старых версиях из вопросов совместимости. Однако, расскажу анекдот. Пол года назад столкнулся с электронным банк клиентом Ситибанка. Они используют версию явы годичной давности, ту в которой найдены критические дыры. Видете ли, их индусо-кодеры не могут перейти на новую версию. Работайте как знаете.
0 |
Dmitry
28-03-2012 11:18:30
Перечисленные библиотеки и фреймворки созданы для web приложений и сайтов и являются их частью. Менеджеры пакетов в Linux не могут их обновлять. Почему - понятно: совместимость может быть наружена, а протестировать разработчики библиотеки не могут - сайты компаний (из Fortune 500) же не опенсорсные. также хочу заметить что компания Sonatype которая производила данное исследование - разработчик maven -системы для управлениями зависимостями в java приложениях. у неё есть свой центральный репозиторий.
0 |