Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимость программного обеспечения российских пользователей не снижается

Уязвимость программного обеспечения российских пользователей не снижается

Уязвимость программного обеспечения российских пользователей не снижается


30.03.2011



"НПО "Эшелон" опубликовал аналитический отчет по состоянию уязвимости программных ресурсов в мире и РФ за минувший год. В марте текущего года эксперты компании провели исследование баз уязвимостей и отчетов крупнейших зарубежных компаний, ассоциаций и тестовых лабораторий, занимающихся исследованием уязвимости программных платформ и реализаций.

В отчете говорится, что несмотря на старания лидирующих в мире разработчиков программных систем, количество уязвимостей в информационно-программных ресурсах не уменьшается; в России наметилась тенденция роста использования открытого программного кода и других заимствованных программных компонент. Проекты с открытым кодом имеют в целом сравнимый с коммерческим программным обеспечением уровень безопасности, но у них в среднем меньше время восстановления и потенциальных возможностей для обхода безопасности (например backdoors), чем у коммерческого программного обеспечения или у внешнего программного обеспечения.

Также здесь говорится, что язык программирования С/С++ еще сохраняет свою популярность, несмотря на архитектурные особенности, связанные с повышенным риском переполнений буфера и системных ошибок.

В процессе исследования, российская компания пришла к выводу, что одни из самых защищенных прикладных продуктов – приложения, написанные на Java, наиболее дефектным с точки зрения безопасности оказался программный код, написанный на языке Perl. Веб-сайты, построенные с помощью Perl (PL), Cold Fusion (CFM), Java Server Pages (JSP), PHP, скорее всего, имеют, по крайней мере, одну серьезную уязвимость, вероятность этого составляет примерно 80%. Сайты, построенные на других языках/платформах, имели уязвимости в среднем лишь в 10% случаев. 37% веб-сайтов на Cold Fusion (CFM) были уязвимы для SQL-инъекций, это самый высокий показатель, в то время как у Struts (DO) и JSP был самый низкий уровень подобной уязвимости - от 14% до 15%.

Исследование безопасности программных продуктов показало, что в 38% открытых продуктов были обнаружены незакрытые уязвимости, что несколько меньше уязвимостей, найденных в коммерческих проектах. После нахождения уязвимостей, для их исправления в проектах с открытым программным обеспечением потребовалось в среднем 36 дней, 48 дней заняла та же операция для внутренних приложений, и 82 дня — для исправления уязвимостей в коммерческих продуктах.

Скорость устранения "критических" уязвимостей межсайтового скриптинга во всех проверенных языках программирования и фреймворках оказалась в диапазоне 50% - 60%, исключение составил лишь PHP с 66%.

"Опыт по проведению аудита и сертификации показывает, что наиболее важными с точки зрения безопасности являются моменты, связанные с менеджментом процесса разработки и квалификация программистов, которые должны быть знакомы с достоинствами и недостатками той программной технологии, которую они используют. Несмотря на развитие средств, методов и подходов к аудиту программного обеспечения, приходится констатировать, что ситуация в области защищенности приложений практически не изменилась в лучшую сторону", - говорят авторы отчета.

Источник:
CyberSecurity.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"