Google запустил новый сервис, который поможет разработчикам отрытого программного обеспечения в поиске уязвимостей. Он получил название OSV (англ. Open Source Vulnerabilities — уязвимости в открытом ПО). Об этом сообщается в официальном блоге компании.
Цель проекта состоит в том, чтобы информировать разработчиков об уязвимостях в открытом ПО, которое распространяется бесплатно. Планируется, что в базе данных уязвимостям будут присваиваться специальные идентификаторы, а также будет отражен статус исправления той или иной проблемы. На момент старта проекта в базе зарегистрировано уже более тысячи уязвимостей открытого ПО. Между тем, проверенный лицензионный софт можно купить прямо сейчас — https://legalkeystore.ru.
Google навсегда удалит всю музыку пользователей. Как этого избежать
«Данный проект ориентирован именно на ПО с открытым исходным кодом и может помочь как разработчикам тех или иных свободных продуктов, так и их пользователям. Для первых данный проект упростит публикацию информации об уязвимостях и их исправлениях в тех или иных версиях продукта, для вторых — оперативное получение информации о „дырах“ в конкретной версии продукта», — отмечает Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB.
В практике программирования разработчики часто используют сторонние компоненты для экономии времени на написание кода приложений, объясняет Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар». «Среди этих компонентов распространено программное обеспечение с открытым исходным кодом (open source), которое доступно для бесплатного некоммерческого использования. По нашим данным, вкрапление в код таких компонентов является одной из главных причин распространения уязвимостей».
По мнению эксперта, наличие в системе недостатков позволяет злоумышленникам выполнять злонамеренные действия, внедряя в уязвимые места данные или команды. «Это может привести к таким последствиям, как кража баз данных или получение нелегитимного доступа к управлению системой и т. д», — говорит специалист.
Однако не все компании и разработчики могут позволить себе коммерческий анализатор кода с широким набором поддерживаемых языков программирования, поэтому на рынке появляются нишевые сервисы, которые дают возможность проанализировать код, написанный на нескольких языках. «В частности, проект OSV поддерживает проверку кода, написанного на языках C/C++. Бесплатный сервис осуществляет поиск уязвимостей в системе методом фаззинга, который заключается в тестировании программного обеспечения передачей приложению на вход неверных или случайных данных», — продолжает Чернов.
Этот метод не обеспечивает достаточно широкое покрытие для выявления всех уязвимостей в коде, в отличие от статического анализа. «Тем не менее сервис однозначно будет полезен тем, кто хочет уменьшить количество уязвимостей в коде, но не готов покупать специализированный коммерческий софт», — заключает эксперт.
По мнению Ярослава Бабина, руководителя отдела анализа защищенности веб-приложений Positive Technologies, сервис должен помочь разработчикам открытого ПО быстрее реагировать на уязвимости или недостатки, связанные с безопасностью их продуктов, так как позволит точно определить причину и в какой версии появилась уязвимость. «Кроме этого, можно будет узнать, какие продукты эта уязвимость может затронуть в случае, когда ПО с открытым исходным кодом используется для других продуктов, в том числе коммерческих», — резюмирует он.
Иван Черноусов, «Российская газета»