19.06.2007  Новости, Безопасность

УЯЗВИМОСТИКомпания Fortify обнаружила астрономическое число ошибок в программном кодеГод назад на организованной корпорацией Sun Microsystems конференции JavaOne основатель и главный исследователь (Chief Scientist) компании Fortify Software Брайан Чесс выступил с докладом на тему "12 пробелов в системе безопасности технологии Java и как их избежать".Прошел год. Насколько же отрасль продвинулась вперед в борьбе с этими внутренне присущими Java уязвимостями? Среди них были названы запуск сценария на веб-клиенте (cross-site scripting, XSS), ввод команд SQL вместо данных (SQL injection), собственные методы Java, позволяющие импортировать код на языках C или C++, и другие уязвимости. Не так уж мало, и ситуация ухудшается. Как заявил Чесс в интервью еженедельнику eWeek: "У меня есть доказательства этого". Fortify разрабатывает технологию анализа исходного кода и имеет обширную базу данных наиболее распространенных ошибок и уязвимостей в программах на Java, которые были выявлены клиентами компании после года работы над проектом Java Open Review.В рамках данного проекта Fortify использует FindBugs - инструмент статистического анализа, обнаруживающий ошибки в коде Java. Он применяется для проверки кода при создании открытого ПО, такого как Apache, Azureus и Tomcat. Fortify проанализировала все проверенные ею фрагменты кода, оповестила через Интернет о количестве обнаруженных проблем, а затем сообщила разработчикам подробные сведения о выявленных уязвимостях."В ... читать далее.