Над половината от корпорациите в списъка Fortune 500 използват в своите ИТ системи отворен код с уязвимости, твърди проучване на Sonatype и Aspect Security сред 2550 разработчици, системни архитекти и анализатори.
Повече от 80% от програмните системи, разработвани вътре в корпорациите, съдържат компоненти с отворен код – библиотеки и „фреймуъркове”, които са потенциално уязвими. Рискът от тези компоненти често се игнорира и недооценява, коментират от Aspect Security.
Изследването установява, че 37% от популярните корпоративни фреймуъркове и компоненти съдържат уязвимости, влизащи в базите данни Common Vulnerabilities and Exposures (CVE) и Open Source Vulnerability Database (OSVDB).
Като пример за уязвими компоненти се посочват Google Web Toolkit, Spring MVC, Struts 1.X. и Hibernate. Тези продукти са свалени над 46 милиона пъти, а Struts 2, който съдържа критична уязвимост, е зареден от 18 хиляди корпорации.
Само 32% от анкетираните организации разполагат с инструменти за проследяване на зависимостите на своите приложения, което усложнява откриването на източника на нови уязвимости.
Резултатите от проучването трябва да послужат като сигнал за компаниите, които разработват софтуер с критично значение за бизнеса, коментират авторите на анализа.
9 коментара
*Вади гумичката и изтрива коментарът на този преди него*
Абе уйове заспали, къде в статията пише за затворения код? Като ви кефи отворения код идете отваряйте консерви с пингвинско.
Те да се благодарят, че е отворен код, защото ако не беше нямаше и да разберат, че са уязвими и още щяха да си мислят, че използват най-доброто и най-сигурното.
А относно софтуера с уязвимости – ако не бяха спали, когато са набирали кадри за IT-отделите си, сега щяха да ползват някое друго, по-добро решение, независимо с отворен или затворен код. Така че да търсят вината в тях си, а не в отвореният модел на разработка.
Хората трябва да се научат да Мислят а не да ползват. Няма нужда децата и работниците първо да свикват на нещо което е по-къпо от 3-4 месечни заплати на служителя.
Линукс не е алтернатива, за сега той е единствения разумен подход който имаме.
До "non-Microsoft -fan" естествено, че ще има такива резултати нали компонентите с отворен код са лесни и достъпни да бъдат тествани и оценени, защото са отворени. А какво става със затворените библиотеки и софтуер, които не могат да се оценят така както отворените. Резултата е че при затворения софтуер всичко остава на тъмно или като върха на айсберг съобщават само за около 5-6 уязвимости официално и другото крият, защото ще навреди на продажбите ако казват цялата истина и си признаят всички грешки и пропуски.
Единствената тъпня тук са вашите коментари. Много ми е интересно откачените на тема free SW как гарантират за него това —— "уязвими компоненти се посочват Google Web Toolkit, Spring MVC, Struts 1.X. и Hibernate. Тези продукти са свалени над 46 милиона пъти, а Struts 2, който съдържа критична уязвимост, е зареден от 18 хиляди корпорации."
Айде по-леко с квасификациите. Това, че един софтуер е отворен, също не е гаранция за сигурност и съвместимост, нито за финансова изгода – нали говорим за свободен, но платен, а не безплатен код? Няма сериозна компания, която да ползва безплатен бизнес софруер. Кой ще й го поддържа? И друго – я съпоставете количеството сертифицирани специалисти по поддръжка на свободен код – най-общо казано, и на Мicrosoft, Cisco и прочее "затворени" кодове. Каква е алтернативата за фирмите? Въпросът ми е риторичен.
Повече от 80% от програмните системи, разработвани вътре в корпорациите, съдържат компоненти с отворен код – библиотеки и „фреймуъркове”, които са потенциално уязвими.
Лол, по-голяма тъпня не бях чел! Това, че даден софтуерен продукт е с отворен код е само ПЛЮС, така компаниите от една страна могат да го модифицират спрямо своите нужди, а също при наличе на дупка в сигурността могат да отреагират сами. Това че даден код е „затворен“ не означава, че е качествен и сигурен!
Спонсор за това е сигурно Microsoft. Изводът от проучването ползвайте само затворен софтуер от Microsoft. Поредната пропаганда с промивка на мозъци, като че ли вече не е показала практиката, че няма абсолютно никакво значение дали даден софтуер е с отворен или затворен код – винаги ще има уязвимости, грешки и пропуски. Ползването на затворен код НЕ е гаранция за сигурност.