Реклама
.
Рекламки



Авторизация






Последние комментарии
#1
2023 пишет: » Запостите:

s3r [точка] ru/stavka-tolko-na-linuks-et... (18.03.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#2
бронедрочец пишет: » В костылинуксе порядок таков: нужен нормальный кал... (02.03.2023)
// Обзор калькуляторов в GNU/Linux
#3
Линупсодав пишет: » Костылинупс на десктопе не взлетит без прикладнухи... (13.02.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#4
admin пишет: » БоЗяН, ожидаемо. (30.01.2023)
// ReactOS 0.4.1
#5
БоЗяН пишет: » Хех. Чёт делать было нечего - дело было вечером)))... (29.01.2023)
// ReactOS 0.4.1
Цитаты



Более 50% компаний из списка Fortune 500 используют уязвимое открытое ПО | автор: Luca | 29 марта 2012

Категория: Open Source


Исследование, проведенное совместными усилиями компаний Sonatype и Aspect Security, показало, что более 50 процентов крупнейших компаний из списка Fortune 500 используют программное обеспечение, построенное с использованием устаревших версий открытых фреймворков и библиотек, содержащих незакрытые уязвимости.

Отчет, основанный на исследовании 113 миллионов загрузок открытого ПО 60 тысячами коммерческими, государственными и некоммерческими организациями, показал, что около 46 миллионов из них приходилось на уязвимые библиотеки и фреймворки, среди которых Google Web Toolkit, Spring MVC, Struts 1.X и Hibernate. Фреймворк Struts 2, содержащий критическую уязвимость, был загружен около миллиона раз 18 тысячами корпораций.








Исследование выявило, что 37 процентов из всех загруженных версий наиболее популярных открытых компонентов содержали известные уязвимости, тогда как среди менее популярных компонентов уязвимости были найдены в 47% загрузок. Также исследование показало, что только 32% организаций, использующих открытые библиотеки и фреймворки в своих продуктах и сервисах, следят за их своевременным обновлением после обнаружения уязвимости.

В заключении исследования авторы делают вывод, что виной тому, что многие компании продолжают использовать небезопасные открытые компоненты даже после обнаружения уязвимости, служит тот факт, что в используемых открытых приложениях просто нет соответствующих средств для уведомления разработчиков о найденной уязвимости и своевременного автоматического обновления.

Некоторые из разработчиков открытых проектов отреагировали на это заявление. Так, Ренэ Гилэн (Rene Gielen) из комитета по управлению проектом Apache Struts сказал, что как и любое ПО, открытые фреймворки и библиотеки просто не могут не содержать уязвимостей и что его команда прикладывает все усилия для своевременного извещения об уязвимости и публикации исправленной версии. Но, как подчеркнул Ренэ, система уведомлений и автоматического обновления по определению не может быть встроена в такие продукты как веб-фреймворки и библиотеки из-за специфики их использования.

Марк Томас (Mark Thomas) заявил, что эти цифры вполне ожидаемые и они отнюдь не относятся только лишь к открытому ПО. Также он подчеркнул, что риски, связанные с этими уязвимостями на самом деле намного ниже, чем предполагают исследователи, так как многие организации осознанно не идут на обновления в связи с проблемами и затратами, которые они могут за собой повлечь, предпочитая использовать различные методы блокирования этих уязвимостей с помощью настроек, не допускающих их эксплуатацию. В качестве примера Марк привел установку веб-сервера Apache в режиме реверс-прокси перед Tomcat, который позволяет не допустить использование некоторых найденных уязвимостей в Tomcat.

источник



      ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 29 марта 2012-го года !



Голосов: 9


Прочитано 6058 раз и оставлено 29 комментариев.





Комментарии посетителей

#1. Luca

Я вижу причиной только то, что когда за разработкой стоит контора получающая за работу деньги у этой конторы есть стимул развивать и дорабатывать свои решения постоянно, обеспечивая им жизненный цикл. В случае с открытым ПО прибыли никто не получает, поэтому единожды написанные решения редко кто продолжает развивать и совершенствовать, особенно когда они используются весьма узко.

#2. MOP3E

Цитата:
Но, как подчеркнул Ренэ, система уведомлений и автоматического обновления по определению не может быть встроена в такие продукты как веб-фреймворки и библиотеки из-за специфики их использования.

Вот почему для виндовых фреймворков регулярно выходят и устанавливаются через WU обновления безопасности, а для линуховых "автоматического обновления по определению не может быть"?

#3. tyween

Причина этого в следующем, в линуксе программы принято компилировать для каждого дистрибутива, и исполняемые файлы получаются разными для каждого дистрибутива, а если пользователи сами собирают программу, то тут вариантов ещё больше, так как они могут использовать различные версии компиляторов, библиотек, менять параметры компиляции или даже вносить свои изменения в код проекта.

Всё это делает выпуск патчей в бинарной форме крайне затруднительным, единственный вариант -- это патчи в виде исходного кода, или просто новая версия продукта, исправляющая уязвимости, и сборка и установка приложения с нуля.

#4. dex

Цитата:
Марк Томас (Mark Thomas) заявил, что эти цифры вполне ожидаемые и они отнюдь не относятся только лишь к открытому ПО.

Я так понимаю читаем между строк?
MOP3E написал:
автоматического обновления по определению не может быть

Ну потому что требует права суперпользователя. Кстати, я еще не знаю где на серваки ставят обновления автоматом что под линь, что под вынь.

#6. MOP3E

Skynet2015 написал:
Ну потому что требует права суперпользователя.

В винде это учётка System.

Skynet2015 написал:
Кстати, я еще не знаю где на серваки ставят обновления автоматом что под линь, что под вынь.

Понимаешь, под виндой обновление может быть и по запросу, но ты в любом случае будешь видеть, что оно пришло и готово к установке.

#7. Babusha

tyween, так всем ср#ть на г№внопроблемы питушиной операционки. Никто с ними тр№хаться не собирается. Людям нужно РАБОТАТЬ, а не ядро переканпелировать.
Luca написал:
Я вижу причиной только то, что когда за разработкой стоит контора получающая за работу деньги у этой конторы есть стимул развивать и дорабатывать свои решения постоянно, обеспечивая им жизненный цикл

Вопрос: причиной чего? Того, что программеры в корпорациях не пересобирают свои приложения с новыми версиями библиотек? А что, это зависит от открытости исходного кода этих самых библиотек? Или, может, проприетарные IDE априори безопасны?
Просто никто не публикует, сколько корпораций используют проприетарные библиотеки, содержащие уязвимости.
Второе. У конторы есть стимул продать свой софт и регулярно вставлять в него новые фичи, продавая их своим заказчикам отдельно. Всё.
Если для сохранения клиентуры разработчик фиксит баги, то хорошо. Если софт проприетарен, это еще один поводок для клиента. Если код открыт, то клиент, чего доброго, прибегнет к посторонней помощи. Непорядок. Поэтому те, кто продает софт под GPL, заинтересован в том, чтобы пофиксить баг первым.
В общем, Столлман уже очень давно все это сформулировал.

Ну-ка, закапыватели, про Столлмана, хором, начали! :) :)
MOP3E написал:
Понимаешь, под виндой обновление может быть и по запросу, но ты в любом случае будешь видеть, что оно пришло и готово к установке.

В линуксе аналогично, как ты сам понимаешь.

#10. REVERSE

REVERSE
Skynet2015 написал:
Кстати, я еще не знаю где на серваки ставят обновления автоматом что под линь, что под вынь.
А чем грозит автообновление под виндой? По-моему, ничем.

#11. Skynet2015

REVERSE написал:
А чем грозит автообновление под виндой? По-моему, ничем.

Для тети Зины - ничем, а вот для любой крупной компании ддля начала обновления тестятся в песочнице, ибо возможен оитказ в работе сторонних прог и сервисов, не?

#12. kenzzzooo

kenzzzooo
Skynet2015, песочница - это идеальный вариант :) Но не панацея :)

#13. kenzzzooo

kenzzzooo
REVERSE, а это зависит от многих факторов. Лучше перебдеть, чем недобдеть :) Я на тестовом сервере сначала обкатывал...

#14. Skynet2015

kenzzzooo написал:
Skynet2015, песочница - это идеальный вариант :) Но не панацея :)

Да кто бы спорил, но тем не менее....

#15. blow05

Интересно, а кто из вышеотписавшихся закапывателей хотя бы погуглил на тему данных фреймворков? При чем тут Линукс вообще с его обновлениями? В тексте указаны Java фреймворки (причем не только WEB). И как вы себе представляете их автообновление? Переход на новую версии библиотеки - не всегда примитивная задача. И не зависит от того, открыты исходники или нет. А компания перейдет на новую версию после дефейса. Только вот что-то не вспомню о дефейсах, которые выполнялись через уязвимость например Hibernate. У Struts - да, была дырка, но много сделать при корректном кода она не давала. В Spring тоже ничего критичного не припомню.

#16. AleksK

Цитата:
Марк Томас (Mark Thomas) заявил, что эти цифры вполне ожидаемые и они отнюдь не относятся только лишь к открытому ПО.

После этой фразы сразу пропадает смысл постить эту новость тут. Хотя... что ещё с фанатиков взять.

#17. kenzzzooo

kenzzzooo
AleksK написал:
После этой фразы сразу пропадает смысл постить эту новость тут


после этой фразы нужно было бы у него спросить как он это может подтвердить :) это как минимум. Как я понял - оценивались только открытые продукты, нет? Я не буду спорить, что в закрытых продуктах тоже есть уязвимости и многие, наверняка, используют эти версии. Вопрос в том, с чего Томас решил, что цифры будут теже?

#18. Павел

kenzzzooo написал:
Вопрос в том, с чего Томас решил, что цифры будут теже?

По принципу отсутствия доказанных различий. СПО и проприетарное ПО пишут люди примерно одной квалификации. Вероятность ошибки можно считать одинаковой. Вероятность ее обнаружения теоретически выше у СПО, практически - несущественно.

#19. Sergey2408

Павел написал:
По принципу отсутствия доказанных различий. СПО и проприетарное ПО пишут люди примерно одной квалификации. Вероятность ошибки можно считать одинаковой. Вероятность ее обнаружения теоретически выше у СПО, практически - несущественно.

У крупной компании типа Adobe бабла гораздо больше, чем у Васи Пупкина, поэтому она может себе позволить протестить продукт на гораздо бОльшем количестве установок. Уязвимости бывают и у них, но по факту - есть куча примеров, когда хакиров, взломавших продукт брали на работу в фирму-изготовителя продукта. Бабло - самый важный аргумент в программировании.

#20. kenzzzooo

kenzzzooo
Sergey2408, бабло, зачастую, вообще самый главный аргумент :) +1

Павел, как тестируют - вот вопрос...

#21. usual_user

А еще это стимулирует разных Вась к написанию этих самых вирусов для последующего трудоустройстваtongue .

#22. tyween

Цитата:
tyween, так всем ср#ть на г№внопроблемы питушиной операционки. Никто с ними тр№хаться не собирается. Людям нужно РАБОТАТЬ, а не ядро переканпелировать.


BabushaНу во-первых, не питушинной, а пингвиной (или пингвинячей), хотя и пингвина птицей можно назвать только с большим трудом.

А во-вторых, линукс всё-таки используется крупным бизнесом, и средним, и мелким, в этом то и проблема, и для борьбы с этой проблемой этот сайт и был создан, а очень скоро, особенно если Путин не забьёт на свои слова, это станет проблемой для миллионов российских чиновников, бюджетников и даже силовиков, а также админов и программистов, которым придётся всё это обслуживать и писать под это всякий софт, и собирать его, и устанавливать его и мучиться с ним после этого.

#23. kenzzzooo

kenzzzooo
usual_user, ну трудоустройство - это святое :)

#24. kenzzzooo

kenzzzooo
tyween, пингвин - пЦЫца :D Ну да ладно... Проблем, думаю, не будет.. Не будет системы - не будет проблем :) В гос.учреждениях такие админы, часто, что не то, чтобы линукс, винду бы поставили и настроили нормально, а то стоит W2k3, развернута AD и т.д., а компы типа не при делах, но, бл.ть, они типа в ДОМЕНЕ...

#25. Павел

Sergey2408 написал:
У крупной компании типа Adobe бабла гораздо больше, чем у Васи Пупкина, поэтому она может себе позволить протестить продукт на гораздо бОльшем количестве установок.

Хочешь сказать, то Apache Tomcat мало юзают? Или Hibernate? Или Spring?
Sergey2408 написал:
Бабло - самый важный аргумент в программировании.

Я думал, мозги...

#26. Павел

tyween написал:
А во-вторых, линукс всё-таки используется крупным бизнесом, и средним, и мелким, в этом то и проблема, и для борьбы с этой проблемой этот сайт и был создан

ИМХО, для решения этой проблемы был создан ЛОР.
tyween написал:
это станет проблемой для миллионов российских чиновников, бюджетников и даже силовиков, а также админов и программистов

Лично для меня проблем не будет. Зато я просто обожрусь попкорна, наблюдая, как под Linux переписываются "Контур-Экстерн", "CheckXML" и подобные радости, которые используют ActiveX, MSXML и т.п., а также тянут за собой MSO. Именно благодаря этим софтинам MS живет в России как кот в сметане.
kenzzzooo написал:
Ну да ладно... Проблем, думаю, не будет.. Не будет системы - не будет проблем

+1. Как с российской ОС.

#27. kenzzzooo

kenzzzooo
Павел написал:
Я думал, мозги...


это у исполнителя главное :)

#28. MOP3E

Павел написал:
По принципу отсутствия доказанных различий. СПО и проприетарное ПО пишут люди примерно одной квалификации. Вероятность ошибки можно считать одинаковой. Вероятность ее обнаружения теоретически выше у СПО, практически - несущественно.

Во-первых, СПО в большинстве случаев пишут либо начинающие профессионалы, которые учатся на этом писать программы, чтобы в дальнейшем продаться подороже в богатую софтверную контору или начать собственный бизнес, либо вообще любители, для которых написание компьютерных программ является хобби. И у кого в итоге получится код лучшего качества?

Во-вторых, для примера, во время бета-теста Windows 7 было найдено и, самое главное, устранено более миллиона различных ошибок. Даже если предположить, что качество исходного кода в СПО и винде было одинаковым, то качество тестирования и скорость устранения ошибок в последней явно выше.

#29. blow05

MOP3E,
ты бы хотя бы вики почитал на тему СПО. Специально для тебя:

Цитата:

Согласно Столлману, «Свобода ПО» означает «право пользователя свободно запускать, копировать, распространять, изучать, изменять и улучшать его». Его современная версия определения свободы ПО состоит из четырёх пунктов, пронумерованных от 0 до 3:
Свобода запускать программу в любых целях (свобода 0).
Свобода изучения работы программы и адаптация её к вашим нуждам (свобода 1). Доступ к исходным текстам является необходимым условием.
Свобода распространять копии, так что вы можете помочь вашему товарищу (свобода 2).
Свобода улучшать программу и публиковать ваши улучшения, так что всё общество выиграет от этого (свобода 3). Доступ к исходным текстам является необходимым условием.


Так вот - я например разрабатываю коммерческий продукт. Заказчикам этот продукт уходит в исходных кодах. Заказчики платят за него деньги. И это - тоже СПО, т.к. ни один принцип не нарушен. И по такой модели сегодня работают миллионы программистов. И они все
MOP3E написал:
либо начинающие профессионалы, которые учатся на этом писать программы, чтобы в дальнейшем продаться подороже в богатую софтверную контору или начать собственный бизнес, либо вообще любители, для которых написание компьютерных программ является хобби
???