Глядя на то, как проявляет себя червь Conficker, а Microsoft продолжает
закрывать многочисленные дыры в своих программах, вполне логично будет придти к
выводу о том, что плохие парни побеждают в битве за контроль над подключенными к
сети Интернет компьютерами.

Но так ли это? Разработчики все чаще берут на вооружение утилиты, позволяющие
укрепить их творения, а уровень взаимодействия и сотрудничества между ними
достиг невиданных доселе высот. Эксперты говорят, что создатели приложений
теперь сосредоточены не только на том, чтобы активно патчить уже обнаруженные
дыры, но и на том, чтобы исключить само их наличие в разрабатываемых продуктах.

Например, Дэн Камински полагает, что тот же Conficker в 2003 году мог бы
причинить куда больше ущерба чем в году текущем и соглашается с тем, что раньше
скомпрометировать Windows было намного легче.

Так, в первой половине 2008 года на долю Vista приходилось лишь 5,5% всех
уязвимостей в продуктах Microsoft, а машины под ее управлением заражались на 60%
реже, чем компьютеры с Windows XP. Согласно данным IBM X-Force, теперь
корпорация Microsoft занимает лишь третье место в списке вендоров с наибольшим
числом уязвимостей, при этом на ее программы приходится всего 2,5% проблем.
Львиную долю здесь оккупировали проекты, которые во что бы то ни стало стремятся
стать второй Facebook, поскольку 70% из них начинают тестирование безопасности
лишь после выхода готового продукта.

Чтобы помочь разработчикам, Microsoft выпускает различные
инструменты для
тестирования безопасности, последним из которых стала утилита "!exploitable
Crash Analyzer"
, которая упрощает процесс обнаружения уязвимости к
эксплоитам. Упомянутый выше Дэн Каминский сказал, что эта программа "меняет
правила игры".

Впрочем, помощь сообществу разработчиков предлагает не только Microsoft. К
примеру, бесплатная утилита
для обнаружения дыр во Flash-приложениях имеется у HP
, а компания IBM
продает свой собственный инструментарий для создателей продуктов на базе Flash и
Ajax. Да и CERT CC не далее, как на прошлой неделе выпустил
инструмент для тестирования
кода ActiveX
.

Несмотря на рецессию, объем рынка решений по обеспечению безопасности
существенно вырос, и составил в США 450 миллионов долларов. Поэтому дело в
обеспечении безопасности программных продуктов сейчас – во многом за самими
разработчиками. Например, согласно последнему исследованию Forrester, лишь 34%
компаний позволяют себе выделять для тестирования безопасности отдельный цикл
разработки, в то время как 57% фирм не проводят даже систематических тренингов
по этой теме.



Оставить мнение