Spadała liczba luk w oprogramowaniu

Z raportu opublikowanego przez IBM-owskie ISS X-Force wynika, że w 2007 roku liczba wykrytych luk w oprogramowaniu zmniejszyła się po raz pierwszy od siedmiu lat. Nawet jednak specjaliści z IBM nie są zgodni co do tego, dlaczego tak się stało.

Chris Rouland, dyrektor ds. technicznych w ISS mówi, że wiemy o mniejszej liczbie luk, gdyż powstał czarny rynek, na którym handluje się informacjami o nich. Wielu specjalistów woli sprzedać dane o dziurze - a mogą być one warte nawet 100000 dolarów - niż informować o niej producenta wadliwego oprogramowania.

Z kolei Gunter Ollmann, dyrektor ds. strategii bezpieczeństwa ISS uważa, że producenci oprogramowania wdrożyli lepsze procedury tworzenia i pisania programów, dzięki czemu są one bezpieczniejsze. Ponadto producenci zwykle zlecają testowanie swoich programów setkom niezależnych ekspertów i znalezione dziury mogą być załatane przed premierą programu. Bardzo często informacja o takich lukach nie jest upubliczniania.

Ogólna liczba znalezionych luk spadła w 2007 roku o 5.4% i wyniosła 6437. Gwałtownie, bo aż o 28%, wzrosła liczba luk krytycznych. W produktach wielkich software'owych koncernów - Microsoftu, Apple, Oracle'a, IBM i Cisco - znaleziono 14% z ogólnej liczby luk.

X-Force informuje, że poważny problem stanowi niedostateczne łatanie znalezionych dziur. Twórcy programów poprawili jedynie połowę znalezionych luk. Tymczasem, jak czytamy w raporcie X-Force, aż 90% dziur można wykorzystać zdalnie.

Źródło: ArcaBit

Realizacja: SIPLEX Studio