Уязвимости ПО передаются «по наследству»

Обилие уязвимостей в программном обеспечении вовсе не свидетельствует о том, что хакеры превосходят талантами «белых» программистов, - уверены эксперты. Эта печальная ситуация является, скорее, следствием самих принципов, на которых основана сегодняшняя IT-индустрия. Такую точку зрения высказал глава и основатель компании Veracode Крис Уайсопал порталу CNET. Его компания представила данные отчета за минувший год. Специалисты Veracode провели более 200 тысяч проверок ПО, используемого клиентами – предприятиями крупного и среднего бизнеса. И выявили 6,9 миллиона изъянов программного кода.

Проблема состоит в том, что программисты крайне редко создают продукты «с нуля» - по оценкам экспертов, до 80-90 процентов кода практически любой сегодняшней программы являются заимствованными. Причем речь вовсе не обязательно о недобросовестных заимствованиях: программные коды могут приобретаться у третьих сторон, другим их постоянным источником является ПО с открытым исходным кодом. И упрекать программистов в лени было бы несправедливо. Как правило, они работают в условиях диктата жестких сроков. И не видят смысла тратить время на то, чтобы «изобретать велосипед» - создавать нечто, давно уже созданное кем-то другим и доказавшее свою работоспособность.

Таким образом, современное ПО строится по большей части из готовых «кирпичиков». Но беда в том, что безопасность почти любого из них – под большим вопросом. И уязвимые фрагменты кода кочуют из программы в программу, заполняя собой почти все киберпространство. Интересно, что особенно уязвимы оказываются в этой ситуации государственные структуры. Ввиду бюджетной дисциплины и строгих бюрократических правил, регламентирующих любые изменения, они могут годами использовать морально устаревшее ПО. Ярким примером можно считать запуск ресурса Healthcare.gov, призванного стать одним из ключевых моментов в реформе медицинского страхования, предложенной президентом Обамой. На момент запуска сайт просто кишел уязвимостями.

Крису Уайсопалу и его коллегам даже удалось заинтересовать этой проблемой некоторых американских законодателей. Проект закона, предусматривающего тщательную проверку всех фрагментов кода новых программ, не созданных, а заимствованных авторами, был внесен на рассмотрение в Конгресс США в декабре прошлого года. Речь в нем, правда, шла лишь о ПО, создаваемом для государственных нужд. Впрочем, это неважно, поскольку проект не был одобрен, не добравшись даже до предварительного голосования. Тем временем, скорость разработки нового ПО лишь растет, становясь ключевым фактором успеха в современном мире, - подчеркивает Крис Уайсопал. И это означает, что проблема «наследственных» уязвимостей будет лишь усугубляться.