Исследователи Университета штата Колорадо разработали модель, предсказывающую количество уязвимостей в следующей версии любого программного продукта – приложения или операционной системы. Результаты будут представлены в сентябре на конференции по компьютерной безопасности.
Для проверки модели исследователи использовали ежемесячные отчеты об уязвимостях двух самых популярных веб-сервером – Apache и Microsoft IIS. В модель также вписались данные об уязвимостях в Windows 95, NT и Linux Red Hat 7.1 с 1995 года. Цель модели не в том, чтобы помочь разработчикам создать продукт полностью без ошибок – это невозможно – а в том, чтобы ошибок стало меньше, говорит один из авторов модели, профессор компьютерных наук Яшвант Малайя.
Согласно модели, график количества уязвимостей по времени представляет собой S-образную кривую, как в целом, так и для каждого типа. Исследователи сделали предположение, что IIS достиг точки насыщения уязвимостями. Вместе с тем, инструмент страдает большой неточностью и может ошибиться на 25%. Так, в январе этого года он предсказал для Windows 98 от 45 до 75 уязвимостей, а по данным Национальной базы уязвимостей, их было обнаружено 66, а в июле их число выросло до 91. Что касается Windows 2000, то 305 найденных ошибок попали в предсказанный диапазон 294-490. В модели используется предполагаемая «плотность дефектов» кода на тысячу строк, которая остается примерно одинаковой для разных версий. Вместе с тем, модель не учитывает наличие инструментов для анализа кода.
