rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Solar appScreener выявляет уязвимости и НДВ в Open Source-проектах

Статический анализатор кода Solar appScreener компании «Ростелеком-Солар» выявляет уязвимости и недекларированные возможности (НДВ) в Open Source-проектах – свободно распространяемых программах, а также компонентах и библиотеках, которые используют разработчики для создания своих проектов.

По итогам сканирования, инструмент SAST-анализа выделяет элементы кода с уязвимостями и предлагает рекомендации по их устранению. Для снижения числа ложных срабатываний (false positive) и пропуска уязвимостей (false negative) используется технология Fuzzy Logic Engine, основанная на математическом аппарате нечеткой логики.

По данным масштабного исследования Red Hat, из 950 опрошенных ИТ-руководителей 95% отмечают значение Open Source для программной инфраструктуры их предприятий как стратегическое. В России, по прогнозам  Accenture и фонда «Сколково», Open Source будут использовать более 90% компаний к 2026 году. Учитывая уход иностранных вендоров ПО с российского рынка, востребованность Open Source и его проникновение в ландшафт инфраструктуры предприятий в 2022 году возрастет резко и многократно.

Опасность использования Open Source решений в том, что они развиваются силами небезразличных участников отрасли, которые тем не менее не гарантируют защищенности разрабатываемого или дополняемого ПО. Ранее аналитики «Ростелеком-Солар» отмечали, что в 50% приложений с открытым исходным кодом для ПК содержатся критические уязвимости.

Чтобы убедиться в том, какую угрозу несут уязвимости в Open Source, достаточно вспомнить историю с Apache Log4j – библиотекой, которая используется миллионами корпоративных приложений и Java-серверами. Уязвимости в ней позволяли злоумышленникам с легкостью выполнить произвольный код на сервере или устройстве, чтобы похитить данные или внедрить вредоносную программу.

«Современную разработку невозможно представить без широкого применения компонентов на базе открытого исходного кода. В условиях, когда Open Source решения могут представлять большую опасность, анализ защищенности свободно распространяемых библиотек и приложений становится обязательным условием их использования, – подчеркивает Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». – Поскольку Open Source развивается широким ИТ-сообществом, не исключена ситуация, когда под видом улучшения злоумышленники могут сами добавить в ту или иную библиотеку элемент кода с уязвимостью».

Редактор раздела: Антон Соловьев (info@mskit.ru)

Рубрики: ПО, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

13.11.2024 Т2 запустил первый тариф после ребрендинга

31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборота

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода