Специализирующаяся в области безопасности компания Black Duck Software пришла к выводу, что в коммерческих приложениях очень часто скрываются уязвимые компоненты с открытым исходным кодом.
Безопасность Open Source-компонентов — это слепая зона, вследствие которой бизнес-среда оказывается уязвимой из-за наличия в этих компонентах десятков застарелых ошибок, утверждает Black Duck Software в новом отчете, подготовленном по результатам проводимой ею работы в области безопасности Open Source. Недавно IBM сделала Black Duck Software своим партнером по внедрению решения IBM Security AppScan для сканирования и выявления используемых потенциально уязвимых Open Source-компонентов.
В отчете сведены данные выполненной по заказу пользователей проверки 200 коммерческих приложений, которая проводилась на протяжении шести месяцев в период до марта текущего года.
Отчет освещает проблемы, которые возникают у многих компаний, желающих узнать, какие Open Source-компоненты присутствуют в их системах. По данным Black Duck, типичное коммерческое приложение содержит в среднем более 100 компонентов с открытым исходным кодом. Однако до проведения аудита пользователи знали лишь о половине из них.
Недостаточная осведомленность влияет на своевременность установки патчей и повышает вероятность того, что в системах могут длительное время сохраняться старые ошибки.
В отчете констатируется, что 67% коммерческих приложений содержат уязвимые Open Source-компоненты, а в каждом приложении имеется в среднем пять уязвимых компонентов, содержащих по нескольку конкретных уязвимостей. По данным фирмы, каждое приложение имеет в среднем 22,5 уязвимости, распределенные по разным компонентам.
О трудностях обнаружения уязвимостей ясно говорит и застарелость найденных программных дефектов — на момент проверки в среднем им было больше пяти лет.
«Это показывает, что организации не имеют представления об уязвимостях потому, что либо не знают о присутствии соответствующего компонента в используемом ими ПО, либо не проверяли информацию об уязвимости компонентов в публичных ресурсах», — говорится в отчете.
В системах могут скрываться даже очень серьезные дефекты безопасности. По данным Black Duck Software, 10% приложений содержат уязвимость Heartbleed OpenSSL, и почти 10% уязвимы вследствие дефекта POODLE, проявляющегося в реализациях протокола TLS.
Наконец, фирма обнаружила, что почти 40% уязвимостей, выявленных ею при сканировании, имеют по шкале Common Vulnerability Scoring System ранг выше семи.
По словам вице-президента Black Duck Software по продуктовой стратегии Майка Питтенджера, суть проблемы состоит не в использовании ПО с открытым кодом, а в отсутствии информации о его использовании и слабой осведомленности о новых выявленных уязвимостях.