Výzkum: Většina aplikací od třetích stran není bezpečná

24. 9. 2010

Sdílet

Využívání aplikací od třetích stran představuje pro společnosti velké bezpečnostní riziko, alespoň podle studie firmy Veracode, která se zabývá bezpečností.

Společnosti často využívají knihovny, jež byly vyvinuty buď jako open source projekty nebo organizacemi, jež přestaly tvořit celé aplikace, tvrdí Jason Steer, solution architekt u společnosti Veracode, jež se specializuje na hledaní zranitelností v kódech.

Zhruba 30 až 70 procent kódu v aplikacích pochází od třetích stran a až 81 procent nedosáhne přijatelné úrovně bezpečnosti, vyplývá ze studie. Obecně pak platí, že aplikace od třetích stran jsou méně bezpečné než ty, jež jsou interně vyvinuty.

"To je pro naše zákazníky velký problém," prozradil Steer na konferenci Gartner Security and Risk Management Summit, jež se koná v Londýně.

Problém byl ilustrován na Twitteru, jež v úterý postihla cross-site scripting chyba na jeho domácích stránkách. Kód od třetí strany povoloval JavaScript funkci nazvanou "onmouseover," vysvětluje Steer. Díky této funkci se dá vyvolat aktivita jako například objevení pop-up okna, nicméně také se dá zneužít na přesměrování uživatele na škodlivý web.

Knihovny používané společnostmi jsou často "vnořené", což znamená, že komponenty byly vyvinuty někým jiným. Pokud je již jednou kód vložen do aplikace, může být velmi obtížné zjistit, zda jde o open source, prozrazuje Steer.

To znamená, že společnosti by si měly dávat pozor na kód, jenž nebyl vyvinut interně.

"Jak interní tak komponenty a aplikace od třetích stran musí projít stejnou úrovní ověření bezpečnosti a zajistit tak důsledné zabezpečení celého portfolia aplikací," doporučuje zpráva společnosti Veracode. "V zakázkách pro externí nebo komerční výrobce softwaru by firmy měly trvat na pravomoci provádět nezávislé testování bezpečnosti a stanovit minimální kritéria zabezpečení."

Poslední studie společnosti Veracode hodnotila stav zabezpečení aplikací, přičemž využívala data od svých zákazníků. Průzkum probíhal za využití služby, jež skenuje kód a v posledních šesti měsících provedla analýzu některých z 2922 aplikací.

Společnost Veracode také zjistila, že její zákazníci opravují chyby objevené v jejich aplikacích během posledních šesti měsících rychleji, než tomu bylo když firma vydala první studii zhruba před rokem.

Steer prozradil, že společnosti potřebují již pouze zhruba šestnáct dní na opravu problému v jejich kódu oproti více než padesáti dnům, které potřebovaly dříve. Třetí strany dokonce pracují ještě rychleji.

"Většině dodavatelů z řad třetích stran stačí u třech čtvrtin aplikací pouze jedenáct dnů na dosažení přijatelné úrovně kvality zabezpečení," vyplývá ze zprávy společnosti Veracode.