Поставщик средств безопасности Veracode в своем исследовании выяснил, что использование в приложении кода от сторонних разработчиков представляет большую угрозу для безопасности.
Многие компании используют библиотеки кода, разработанного либо в открытых проектах, либо на условиях аутсорсинга по контракту, говорит Джейсон Стир, программный архитектор Veracode. Сама компания Veracode специализируется на поиске уязвимостей в программном коде.
Согласно исследованию фирмы, от 30 до 70% кода в приложениях происходит от сторонних разработчиков, которые в 81% случаев не обеспечивают необходимый уровень безопасности. Говоря в целом, сторонние приложения обычно менее защищены, чем приложения, разработанные собственными силами.
«Это большая проблема для наших клиентов», – сказал Стир в среду на лондонском саммите Gartner Security and Risk Management.
Он проиллюстрировал эту проблему на примере Twitter, в котором во вторник на этой неделе была обнаружена кросс-сайтовая ошибка скрипта. Сторонний код активировал функцию JavaScript под названием onmouseover. С помощью такой функции злоумышленник вполне способен перенаправить пользователя на вредоносный сайт.
По словам Стира, компании могут самостоятельно разработать приложение, но использовать при этом библиотеки, разработанные на стороне. При использовании такого кода усложняется задача тестирования приложения, объясняет Стир.
«И внутренние, и сторонние компоненты и приложения должны подвергаться одинаковым проверкам безопасности для обеспечения единого уровня безопасности по всему портфелю приложений, – рекомендуется в отчете Veracode. – В контрактах с поставщиками аутсорсингового и коммерческого ПО должна обязательно оговариваться возможность осуществления независимых тестов на безопасность и минимальные приемлемые критерии безопасности».
Источник информации: ComputerWorld