Нарастающая популярность СПО привела к стремительному росту проектов в отрасли, разработке приложений с открытым кодом, которые позволяют решать множество задач. Так, по данным компании Black Duck Software, в 2011 г. в мире было запущено более 10 тыс. новых проектов Open Source, многие из которых были нацелены на разработку приложений, включенных в библиотеки и размещенные в многочисленных репозиториях.
Оценка уязвимости приложений Open Source, применяемых в крупных компаниях, проведенная на основе опроса 2550 респондентов — разработчиков, системных архитекторов и аналитиков компаниями Sonatype и Aspect Security, фактически развенчивает миф о 100%-ной безопасности СПО.
В опубликованном отчете говорится, что более 50% крупнейших корпораций мира из списка Fortune 500 используют СПО, в котором присутствуют приложения с уязвимостями в информационной безопасности (ИБ).
Отмечается, что менее 25% всех корпораций, в которых применяется СПО, используют его эффективно, причем корпоративная ИБ-политика соблюдается не всегда, а иногда вообще отсутствует. По результатам опроса лишь 500 респондентов (примерно 20%) отмечали невозможность использования сторонних приложений, запрещенных корпоративной политикой безопасности. Причем в аналогичном исследовании применения СПО в корпорациях, проведенном год назад, таковых респондентов оказалось только 13%.
49% респондентов, говорится в отчете, заявили, что у них имеется корпоративная политика на рабочем месте, а 63% признали, что корпоративные стандарты не используются или вообще отсутствуют. Однако в прошлогоднем исследовании почти 90% отмечали, что корпоративной политики в компании вообще не предусмотрено.
Эксперты, занимающиеся проблемами ИБ, объясняют такое положение тем, что свыше 80% кода программных приложений, созданных программистами внутри компании, заимствовано из библиотек и фреймворков с открытым кодом. Причем риски, связанные с уязвимостями этих компонентов в части ИБ, по их мнению, игнорируются и недооцениваются.
Сообщается, что исследователи Sonatype совместно с Aspect Security проанализировали свыше 113 млн. загрузок компонентов открытого ПО, которые осуществлялись в 60 тыс. коммерческих, государственных и некоммерческих организациях.
На предмет ИБ было проанализировано свыше 30 наиболее популярных фреймворков и библиотек Java, загруженных из Central Repository фирмы Sonatype. При этом выявлено, что около 46 млн. загрузок включали версии Google Web Toolkit, Spring MVC, Struts 1.X и Hibernate, имевшие уязвимости. Например, фреймворк Struts 2, содержащий критическую уязвимость, был загружен около 1 млн. раз в 18 тыс. организациях.
В отчете указано, что 37% из всех загруженных версий 31 наиболее популярный компонент содержал известные уязвимости, в то время как среди менее популярных компонентов уязвимости были найдены в 47% загрузок. При этом отмечается, что лишь 32% организаций, использующих компоненты с открытым кодом при разработке своих приложений, следят за их своевременным обновлением после обнаружения уязвимости.
Такое положение эксперты связывают с тем, что в используемых открытых приложениях отсутствуют соответствующие средства для уведомления разработчиков о найденной уязвимости и своевременного автоматического обновления.
Согласно Aspect Security, поскольку 80% распространенного ПО включает компоненты Open Source и фреймворки в скомпилированном виде, то почти каждый разработчик софта выпускает ПО с критическими для бизнеса ошибками.
Разработчики СПО прокомментировали данные исследователей. Так, по мнению Ренэ Гилэн (Rene Gielen), участника проекта Apache Struts, в любом ПО содержатся уязвимости, но задача разработчиков как можно быстрее устранять их выпуском соответствующих обновленных версий. Однако, считает он, автоматизировать обновление программ не удастся из-за разделения процессов инсталляции и работы приложения.
Участник проекта Apache Tomcat Марк Томас (Mark Thomas) согласен с коллегой в том, что приведенные в отчете цифры можно отнести не только к СПО, так как многие организации используют программы с уязвимостями, даже не подозревая об этом. Однако, по его мнению, риски, связанные с такими уязвимостями, на самом деле существенно ниже, чем предполагают исследователи, поскольку многие организации применяют корпоративную политику безопасности, при которой компоненты Open Source, в которых предполагаются уязвимости, попросту блокируются.