недеља, 27. јул 2008.

Open source softver predstavlja sigurnosni rizik

Open source softver predstavlja prilično veliki sigurnosni rizik za korporacije koje ga koriste u velikom broju slučajeva budući da open source zajednica ne može da obezbedi minimalne sigurnosne zahteve, navodi se u studiji objavljenoj početkom ove nedelje.

Ova studija koje je izvršena od strane firme Fortify Software uz pomoć konsultanta Larry Suto, vršila je procenu 11 open source softverskih paketa. Cilj ovog istraživanja je bio da se sazna da li zajednica za svaki open source softverski paket reaguje kada je reč o sigurnosnim problemima ili po pitanju pronađenih slabih tačaka, da li se redovno objavljuju sigurnosni vodiči kao i da li se proces razvoja održava sigurnim.

Open source aplikacioni server Tomcat postigao je najbolje rezultate na osnovu studije koja je dobila naziv „Open Source Study“ – How Are Open Source Development Communities Embracing Security Best Practices“? Preostalih deset open source aplikacija, alata i paketa baza podataka – Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin i Struts – prikazali su prilično loše rezultate.

Među ovih 10 paketa aplikacioni server JBoss se najviše kotirao obezbeđujući značajnu vezu ka sigurnosnim informacijama na svom Web sajtu kao i lak pristup sigurnosnim stručnjacima a negativne poene su dobili zbog nedostatka specifičnog email-a za prijavu slabih tačaka. Međutim, Jacob West, rukovodilac Fortify grupe koja se bavi istraživanjem sigurnosti, objasnio je ovaj nedostatak činjenicom da kada se pronađu slabe tačke jedna od najnepoželjnijih mogućnosti je da ih prijavite na mail listu jer će onda svi podaci biti javno dostupni.

Prilikom prijavljivanja slabih tačaka potrebno je da postoji određena mera poverljivosti tako da zakrpe mogu biti obezbeđene onda kada je javnost obaveštena o postojanju slabih tačaka tako da potencijalni napadači ne mogu iskoristiti to što su informacije puštene u javnost pre vremena. Međutim, open source zajednice koje nude svoje softvere bez ikakve nadoknade obično ne obraćaju mnogo pažnje na sigurnost kao što to rade druge kompanije, njihovi konkurenti, koji naplaćuju svoje softvere i usluge.

Fortify je identifikovao ukupno 22.826 cross-site scripting i 15.612 SQL Injection problema koji su povezani sa višestrukim verzijama 11 pregledanih open source softverskih paketa. Ipak, kada je Fortify pokušao da stupi u kontakt sa open source softverskim zajednicama putem Web sajta i e-mail adresa, odgovor nije usledio u dve trećine slučajeva. West navodi i podatak da nigde nije mogao da pronađe nijedan broj kontakt telefona tako da je veoma teško reći kakvi ljudi stoje iza svega toga.

U izveštaju koji je objavljen navodi se da open source paketi često tvrde da poslovnim korisnicima nude različite poslovne mogućnosti koje, međutim, nisu prihvaćene kao najbolji industrijski standardi. Neretko je slučaj da se samo nekoliko open source razvojnih timova kreće u pravom smeru. West navodi da Fortify nije sproveo ovu studiju da bi osudio open source softver, već da bi istakao da sigurnosne prakse moraju biti unapređene zbog toga što je prihvatanje open source softvera od strane poslovnih korisnika i državanih organa u porastu.