Reader TTS

Цель проекта состоит в том, чтобы информировать разработчиков об уязвимостях в открытом ПО, которое распространяется бесплатно. Планируется, что в базе данных уязвимостям будут присваиваться

специальные идентификаторы, а также будет отражен статус исправления той или иной проблемы. На момент старта проекта в базе зарегистрировано уже более тысячи уязвимостей открытого ПО.

"Данный проект ориентирован именно на ПО с открытым исходным кодом и может помочь как разработчикам тех или иных свободных продуктов, так и их пользователям. Для первых данный проект

упростит публикацию информации об уязвимостях и их исправлениях в тех или иных версиях продукта, для вторых - оперативное получение информации о "дырах" в конкретной версии

продукта", - отмечает Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB. В практике программирования разработчики часто используют сторонние компоненты для

экономии времени на написание кода приложений, объясняет Даниил Чернов, директор Центра Solar appScreener компании "Ростелеком-Солар". "Среди этих компонентов распространено

программное обеспечение с открытым исходным кодом (open source), которое доступно для бесплатного некоммерческого использования. По нашим данным, вкрапление в код таких компонентов является

одной из главных причин распространения уязвимостей". По мнению эксперта, наличие в системе недостатков позволяет злоумышленникам выполнять злонамеренные действия, внедряя в уязвимые

места данные или команды. "Это может привести к таким последствиям, как кража баз данных или получение нелегитимного доступа к управлению системой и т. д", - говорит специалист.

Однако не все компании и разработчики могут позволить себе коммерческий анализатор кода с широким набором поддерживаемых языков программирования, поэтому на рынке появляются нишевые сервисы,

которые дают возможность проанализировать код, написанный на нескольких языках. "В частности, проект OSV поддерживает проверку кода, написанного на языках C/C++. Бесплатный сервис

осуществляет поиск уязвимостей в системе методом фаззинга, который заключается в тестировании программного обеспечения передачей приложению на вход неверных или случайных данных", -

продолжает Чернов. Этот метод не обеспечивает достаточно широкое покрытие для выявления всех уязвимостей в коде, в отличие от статического анализа. "Тем не менее сервис однозначно будет

полезен тем, кто хочет уменьшить количество уязвимостей в коде, но не готов покупать специализированный коммерческий софт", - заключает эксперт. По мнению Ярослава Бабина, руководителя

отдела анализа защищенности веб-приложений Positive Technologies, сервис должен помочь разработчикам открытого ПО быстрее реагировать на уязвимости или недостатки, связанные с безопасностью

их продуктов, так как позволит точно определить причину и в какой версии появилась уязвимость. "Кроме этого, можно будет узнать, какие продукты эта уязвимость может затронуть в случае,

когда ПО с открытым исходным кодом используется для других продуктов, в том числе коммерческих", - резюмирует он.