Oprogramowanie dużych firm coraz bezpieczniejsze?

Grupa 10 koncernów, powszechnie uważanych za producentów najbardziej dziurawego oprogramowania, w ciągu ostatnich pięciu lat znacząco poprawiła bezpieczeństwo swoich aplikacji - wynika z analiz przeprowadzonych przez Guntera Ollmanna z IBM Internet Security Systems X-Force.

Ollmann opiera swoje twierdzenie na fakcie, iż w tym roku owe 10 firm (na czele której znalazł się Microsoft) odpowiedzialne jest jedynie za 14,6% wszystkich błędów znalezionych w oprogramowaniu. Jeszcze pięć lat temu odsetek ten był znacznie większy - wynosił 20,2%. A jako że ogólna liczba luk wykrywanych w popularnych aplikacjach w ostatnich latach dość wyraźnie wzrosła, to wynik ten świadczy o znaczącym poprawieniu się bezpieczeństwa produktów dużych firm.

Zdaniem Ollmanna, w głównej mierze jest to zasługa wdrożenia przez firmy słynące kiedyś z dziurawego oprogramowania nowych procedur tworzenia bezpiecznego kodu oraz systemów testowania. Co więcej, produkty dużych firm są zwykle bardzo popularne - a to znaczy, że wiele osób (zarówno przestępcy, jak i specjaliści ds. bezpieczeństwa) szuka w nich błędów.

Jak tłumaczy przedstawiciel X-Force, konsekwencją powyższych zjawisk jest to, że coraz trudniej jest włamywać się do programów czy systemów operacyjnych dużych producentów - dlatego też przestępcy coraz częściej szukają luk w produktach małych firm, dotychczas uważanych za bezpieczne. A to sprawia, że ogólna liczba nowo wykrywanych "dziur" rośnie.

Na liście 10 producentów najbardziej dziurawych programów od pięciu lat znajdują się Microsoft, Cisco, IBM, Sun oraz Linux Kernel Organization. W 2006 r. do listy tej dopisano m.in. Oracle'a, Adobe, HP, Apple'a oraz Mozillę.

W 2006 r. w oprogramowaniu powyższych firm znaleziono łącznie 964 błędy (to ok. 14% wszystkich znalezionych w ubiegłym roku luk). Co ważne, jedynie 14% z nich nie zostało załatane - to bardzo dobry wynik, zważywszy na to, że spośród błędów znalezionych w oprogramowaniu firm spoza "listy najbardziej dziurawych" jak do tej pory załatano jedynie 35% luk.

Gunter Ollmann zwraca uwagę, iż duże firmy dobrze radzą sobie z łataniem nowo wykrywanych błędów, ponieważ wdrożyły zaawansowane mechanizmy wyszukiwania luk w oprogramowaniu, usuwania ich oraz dystrybuowania poprawek. Mniejsze firmy z takich systemów zwykle nie korzystają, co sprawia, że proces łatania błędów często trwa w nich dłużej.


Zobacz również