Более 50% компаний из списка Fortune 500 используют уязвимое открытое ПО27.03.2012 10:42

Исследование, проведенное совместными усилиями компаний Sonatype и Aspect Security, показало, что более 50 процентов крупнейших компаний из списка Fortune 500 используют программное обеспечение, построенное с использованием устаревших версий открытых фреймворков и библиотек, содержащих незакрытые уязвимости.

Отчет, основанный на исследовании 113 миллионов загрузок открытого ПО 60 тысячами коммерческими, государственными и некоммерческими организациями, показал, что около 46 миллионов из них приходилось на уязвимые библиотеки и фреймворки, среди которых Google Web Toolkit, Spring MVC, Struts 1.X и Hibernate. Фреймворк Struts 2, содержащий критическую уязвимость, был загружен около миллиона раз 18 тысячами корпораций.

Исследование выявило, что 37 процентов из всех загруженных версий наиболее популярных открытых компонентов содержали известные уязвимости, тогда как среди менее популярных компонентов уязвимости были найдены в 47% загрузок. Также исследование показало, что только 32% организаций, использующих открытые библиотеки и фреймворки в своих продуктах и сервисах, следят за их своевременным обновлением после обнаружения уязвимости.

В заключении исследования авторы делают вывод, что виной тому, что многие компании продолжают использовать небезопасные открытые компоненты даже после обнаружения уязвимости, служит тот факт, что в используемых открытых приложениях просто нет соответствующих средств для уведомления разработчиков о найденной уязвимости и своевременного автоматического обновления.

Некоторые из разработчиков открытых проектов отреагировали на это заявление. Так, Ренэ Гилэн (Rene Gielen) из комитета по управлению проектом Apache Struts сказал, что как и любое ПО, открытые фреймворки и библиотеки просто не могут не содержать уязвимостей и что его команда прикладывает все усилия для своевременного извещения об уязвимости и публикации исправленной версии. Но, как подчеркнул Ренэ, система уведомлений и автоматического обновления по определению не может быть встроена в такие продукты как веб-фреймворки и библиотеки из-за специфики их использования.

Марк Томас (Mark Thomas) заявил, что эти цифры вполне ожидаемые и они отнюдь не относятся только лишь к открытому ПО. Также он подчеркнул, что риски, связанные с этими уязвимостями на самом деле намного ниже, чем предполагают исследователи, так как многие организации осознанно не идут на обновления в связи с проблемами и затратами, которые они могут за собой повлечь, предпочитая использовать различные методы блокирования этих уязвимостей с помощью настроек, не допускающих их эксплуатацию. В качестве примера Марк привел установку веб-сервера Apache в режиме реверс-прокси перед Tomcat, который позволяет не допустить использование некоторых найденных уязвимостей в Tomcat.