Компания Fortify обнаружила астрономическое число ошибок в программном коде
Год назад на организованной корпорацией Sun Microsystems конференции JavaOne основатель и главный исследователь (Chief Scientist) компании Fortify Software Брайан Чесс выступил с докладом на тему «12 пробелов в системе безопасности технологии Java и как их избежать».

Прошел год. Насколько же отрасль продвинулась вперед в борьбе с этими внутренне присущими Java уязвимостями? Среди них были названы запуск сценария на веб-клиенте (cross-site scripting, XSS), ввод команд SQL вместо данных (SQL injection), собственные методы Java, позволяющие импортировать код на языках C или C++, и другие уязвимости. Не так уж мало, и ситуация ухудшается. Как заявил Чесс в интервью еженедельнику eWeek: «У меня есть доказательства этого». Fortify разрабатывает технологию анализа исходного кода и имеет обширную базу данных наиболее распространенных ошибок и уязвимостей в программах на Java, которые были выявлены клиентами компании после года работы над проектом Java Open Review.

В рамках данного проекта Fortify использует FindBugs — инструмент статистического анализа, обнаруживающий ошибки в коде Java. Он применяется для проверки кода при создании открытого ПО, такого как Apache, Azureus и Tomcat. Fortify проанализировала все проверенные ею фрагменты кода, оповестила через Интернет о количестве обнаруженных проблем, а затем сообщила разработчикам подробные сведения о выявленных уязвимостях.

«В результате Fortify пришла к выводу, что открытое ПО содержит астрономическое число дефектов», — заявил Чесс. Он особо выделил проект Net Trust, который Fortify исследовала на протяжении года. На 1000 строк кода в нем содержится 12215 ошибок. «Это огромное количество для проекта, в названии которого присутствует слово «доверие»», — считает Чесс.

Ирония заключается в том, что Net Trust представляет собой проект Google по созданию механизма безопасности для простой однократной регистрации и аутентификации. «Но его разрабатывали студенты, не умеющие писать правильный код», — сказал Чесс.
Net Trust — это один из многих примеров, демонстрирующих, что ошибки в системе безопасности Java, хотя они уже давно известны, представляют собой ловушки, в которые по мере роста популярности этого языка неизменно попадает все больше программистов. Ведь обучение написанию безопасного кода носит по крайней мере случайный характер.

Чтобы проиллюстрировать отсутствие у программистов навыков создания безопасного кода, Чесс рассказал о своем недавнем наблюдении, касающемся самой Sun. Конкретно речь идет о следующем: в выпущенном Sun руководстве по программированию сервлетов — простого метода, используемого в Sun для подключения Java к Интернету, — содержатся уязвимости межсайтового скриптинга (XSS). Если уж такое происходит с Sun, то кому вообще можно доверять? «Вопросы безопасности не упоминаются в учебнике по программированию вообще, — сказал Чесс. — С учетом этого обстоятельства не удивительно, что он содержит уязвимости типа cross-site scripting».

«Проблема заключается в том, что Java и другие ориентированные на Интернет языки программирования позволяют очень легко допустить ошибку типа XSS, — считает он. — Задумайтесь, как создается простейшая веб-страница. При написании приложения на Java для Интернета вы первым делом сообщаете ему, как вас зовут, а оно отвечает «Привет, Брайан!» после того, как я ввел свое имя. Заложенные в Java функции, необходимые, чтобы просто вывести тестовое сообщение «Привет, мир!», открывают возможность для XSS».

Эксперт по Java Уильям Пью, профессор компьютерных наук в университете шт. Мэриленд, согласен, что проблема безопасности Java приобретает все более острый характер. «XSS превращается в очень серьезную угрозу, — сказал Пью. — Инструменты наподобие тех, которыми пользуется компания Fortify, позволяют обнаруживать связанные с XSS проблемы. Но очистить программный код от всех вызванных XSS уязвимостей очень не просто. Доступные нам статистические данные показывают, что это превращается в серьезнейшую уязвимость [написанных на Java приложений, если не в главный объект интернет-атак]».

Сегодня обязанность отслеживать наиболее распространенные ошибки в системе безопасности Java лежит на разработчике. Такое положение можно изменить, но это будет непросто. Одной из мер должна стать модификация браузеров с целью затруднить использование XSS. Это потребует изменения принятого в Интернете стандарта и участия всех крупнейших производителей браузеров — Microsoft, Mozilla и Apple. Даже если кто-нибудь сможет убедить их следовать этому плану, необходимо будет разослать новый браузер миллионам пользователей. «Для решения такой задачи потребуются в лучшем случае годы, — считает Чесс. — Чтобы изменить основы сред разработки или языков программирования, нужно очень много времени».