Google найдет уязвимости в бесплатном программном обеспечении
Цель проекта состоит в том, чтобы информировать разработчиков об уязвимостях в открытом ПО, которое распространяется бесплатно. Планируется, что в базе данных уязвимостям будут присваиваться специальные идентификаторы, а также будет отражен статус исправления той или иной проблемы. На момент старта проекта в базе зарегистрировано уже более тысячи уязвимостей открытого ПО.
"Данный проект ориентирован именно на ПО с открытым исходным кодом и может помочь как разработчикам тех или иных свободных продуктов, так и их пользователям. Для первых данный проект упростит публикацию информации об уязвимостях и их исправлениях в тех или иных версиях продукта, для вторых - оперативное получение информации о "дырах" в конкретной версии продукта", - отмечает Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB.
В практике программирования разработчики часто используют сторонние компоненты для экономии времени на написание кода приложений, объясняет Даниил Чернов, директор Центра Solar appScreener компании "Ростелеком-Солар". "Среди этих компонентов распространено программное обеспечение с открытым исходным кодом (open source), которое доступно для бесплатного некоммерческого использования. По нашим данным, вкрапление в код таких компонентов является одной из главных причин распространения уязвимостей".
По мнению эксперта, наличие в системе недостатков позволяет злоумышленникам выполнять злонамеренные действия, внедряя в уязвимые места данные или команды. "Это может привести к таким последствиям, как кража баз данных или получение нелегитимного доступа к управлению системой и т. д", - говорит специалист.
Однако не все компании и разработчики могут позволить себе коммерческий анализатор кода с широким набором поддерживаемых языков программирования, поэтому на рынке появляются нишевые сервисы, которые дают возможность проанализировать код, написанный на нескольких языках. "В частности, проект OSV поддерживает проверку кода, написанного на языках C/C++. Бесплатный сервис осуществляет поиск уязвимостей в системе методом фаззинга, который заключается в тестировании программного обеспечения передачей приложению на вход неверных или случайных данных", - продолжает Чернов.
Этот метод не обеспечивает достаточно широкое покрытие для выявления всех уязвимостей в коде, в отличие от статического анализа. "Тем не менее сервис однозначно будет полезен тем, кто хочет уменьшить количество уязвимостей в коде, но не готов покупать специализированный коммерческий софт", - заключает эксперт.
По мнению Ярослава Бабина, руководителя отдела анализа защищенности веб-приложений Positive Technologies, сервис должен помочь разработчикам открытого ПО быстрее реагировать на уязвимости или недостатки, связанные с безопасностью их продуктов, так как позволит точно определить причину и в какой версии появилась уязвимость. "Кроме этого, можно будет узнать, какие продукты эта уязвимость может затронуть в случае, когда ПО с открытым исходным кодом используется для других продуктов, в том числе коммерческих", - резюмирует он.