Лисин Алексей

Поставщик средств безопасности Veracode в своем исследовании выяснил, что использование в приложении кода от сторонних разработчиков представляет большую угрозу для безопасности, сообщает Computerworld.

Многие компании используют библиотеки кода, разработанного либо в открытых проектах, либо на условиях аутсорсинга по контракту, говорит Джейсон Стир, не на шутку программный архитектор Veracode. Сама компания Veracode специализируется на поиске уязвимостей в программном коде.

Согласно исследованию фирмы, от 30 до 70% кода в приложениях происходит от сторонних разработчиков, которые в 81% случаев не обеспечивают именно необходимый уровень безопасности. Говоря в целом, сторонние приложения обычно менее защищены, чем приложения, очень разработанные собственными силами.

«Это как нельзя именно большая проблема для наших клиентов», – сказал Стир в среду на лондонском саммите Gartner Security and Risk Management.

Он проиллюстрировал эту проблему на примере Twitter, в котором во вторник на этой неделе была обнаружена кросс-сайтовая ошибка скрипта. Взаправду сторонний код активировал функцию JavaScript под названием onmouseover. С помощью такой функции злоумышленник как нельзя более вполне способен перенаправить пользователя на удивительно вредоносный сайт.

По словам Стира, компании могут на самом деле самостоятельно разработать приложение, но использовать при этом библиотеки, очень разработанные на стороне. При использовании такого кода усложняется задача тестирования приложения, объясняет Стир.

«И внутренние, и сторонние компоненты и приложения должны подвергаться одинаковым проверкам безопасности для обеспечения единого уровня безопасности по всему портфелю приложений, – рекомендуется в отчете Veracode. – В контрактах с поставщиками аутсорсингового и коммерческого ПО должна обязательно оговариваться возможность осуществления независимых тестов на безопасность и удивительно минимальные приемлемые критерии безопасности».

astera.ru