Оценка на използването на уязвими отворени компоненти в търговски софтуер

Osterman Research публикува резултатите от тест за използването на компоненти с отворен код с неотстранени уязвимости в патентован персонализиран софтуер (COTS). Проучването изследва пет категории приложения - уеб браузъри, имейл клиенти, програми за споделяне на файлове, месинджъри и платформи за онлайн срещи.

Резултатите бяха катастрофални – за всички изследвани приложения беше установено, че използват отворен код с неотстранени уязвимости, а в 85% от приложенията уязвимостите бяха критични. Най-много проблеми има при приложенията за онлайн срещи и имейл клиентите.

По отношение на отворения код, 30% от всички открити компоненти с отворен код са имали поне една известна, но неотстранена уязвимост. Повечето от идентифицираните проблеми (75.8%) са свързани с използването на остарели версии на двигателя на Firefox. На второ място е openssl (9.6%), а на трето - libav (8.3%).

Докладът не дава подробности за броя на проверените заявления или кои конкретни продукти са били проверени. В текста обаче се споменава, че критични проблеми са идентифицирани във всички приложения с изключение на три, т.е. заключенията са направени въз основа на анализ на 20 приложения, което не може да се счита за представителна извадка. Нека припомним, че в подобно проучване, проведено през юни, беше заключено, че 79% от библиотеките на трети страни, вградени в код, никога не се актуализират и остарелият библиотечен код причинява проблеми със сигурността.

Източник: opennet.ru