Специалисты ООО "Базис" совместно с сотрудниками Института системного программирования РАН (ИСП РАН) и испытательной лаборатории "Фобос-НТ" провели очередной этап тестирования компонентов с открытым исходным кодом, которые используются в инструментах виртуализации по всему миру, в том числе в продуктах компании. Результатом совместной работы стало обнаружение и последующее устранение 191 дефекта в коде, некоторые из них специалисты оценили как уязвимости.

Специалисты протестировали следующие компоненты с открытым исходным кодом: nginx, ActiveMQ Artemis, Apache Directory, libvirt-exporter, QEMU. Особое внимание уделили libvirt: сбой в работе этой библиотеки может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации. Перечисленные компоненты используют вендоры по всему миру. Libvirt предоставляет API для управления виртуальными машинами, nginx помогает балансировать нагрузку и т.д. От качества их работы зависит множество российских и иностранных решений для работы с виртуальными средами.

Статический анализ выявил 178 дефектов в коде тестируемых компонентов. Изучив их, специалисты ИСП РАН и "Базис" разработали 86 исправлений, которые внедрили в основные ветки разработки соответствующих проектов. Большая часть срабатываний относилась к популярному брокеру сообщений ActiveMQ Artemis и серверу каталогов Apache Directory.

Фаззинг-тестирование выявило еще 13 дефектов в коде: пять из них в Apache Directory LDAP API и восемь - в библиотеке libvirt. Все поданные исправления были приняты в основные ветки разработки libvirt и Apache Directory.

"Мы очень серьезно относимся к качеству кода экосистемы "Базис", поэтому тестируем на ошибки и уязвимости не только наш код, но даже компоненты с открытым исходным кодом, которые используем. Более того, без такого тестирования невозможны современная безопасная разработка и сертификация. Такой подход делает наши решения более качественными и защищенными, а также вносит вклад в развитие открытых инструментов виртуализации, которые используют различные вендоры по всему миру", - отметил технический директор компании "Базис" Дмитрий Сорокин.

"Открытые инструменты всегда несут определенные риски для компании. Подобное ПО необходимо регулярно проверять с точки зрения информационной безопасности. Кроме того, использование open source требует постоянного обновления сигнатур. Наличие в проекте 191 дефекта - это немного. В таких случаях важно оперативно привлекать экспертов по устранению уязвимостей. Мы не знаем деталей, какого именно уровня дефекты нашли сотрудники "Базиса" и ИСП РАН, однако хорошо, что обнаружили и устранили их своевременно", - сказал автор продукта Solar appScreener ГК "Солар" Даниил Чернов.

"Безусловно, даже если просто поделить 191 недостаток на пять заявленных компонентов, то выходит примерно по 38 недостатков на каждый, что немало. Но нет информации о степени их критичности, что также имеет значение. Например, на наших проектах в среднем в рамках анализа одной системы мы обнаруживаем две уязвимости высокого уровня риска, три – среднего и пять – низкого. Периодически обнаруживаются критические, но реже, примерно в каждом пятом проекте. Однако здесь речь больше про не-open-source системы, над разработкой которых работает определенная команда в рамках основной деятельности", - рассказал руководитель департамента аудита и консалтинга компании ООО "Ф.А.К.К.Т." (F.A.C.C.T.) Евгений Янов.

"В случае с открытым ПО – это лотерея. Более того, открытый исходный код дает злоумышленникам возможность тщательнее изучить его и найти уязвимости, которые они смогут использовать для неправомерных действий. Open-source – это всегда разные люди, не все из них обладают достаточным опытом и знаниями, чтобы следовать лучшим практикам безопасной разработки. Для многих это просто хобби, а не основная деятельность, поэтому отсутствует формальный процесс тестирования безопасности, в рамках которого разработчики могли бы выявлять недостатки", - отметил Евгений Янов.

Руководитель департамента информационной безопасности АО "ИВК" Игорь Корчагин рассказал, к каким последствиям могли бы привести неисправленные уязвимости: "Любая изначально кажущаяся незначительной проблема, может привести к нарушению или потери поддержки целых блоков бизнес-процессов инфраструктуры, в особенности когда речь идет о виртуализации. Специалисты "Базис", ИСП РАН и испытательной лаборатории "Фобос-НТ" провели огромную работу по обнаружению и устранению уязвимостей. Важно отметить, что соблюдены принципы сообщества разработчиков свободного ПО, результаты их работы доведены до основных веток разработки проектов и успешно приняты, а соответственно в дальнейшем могут быть использованы всем ИТ-сообществом, в том числе множеством российских продуктов, в составе которых используются исследованные коллегами библиотеки и компоненты".