Studie zjistila, že na 85 % komerčních aplikací obsahuje kritickou zranitelnost

Společnost Osterman Research zveřejnila výsledky svého dlouhodobého výzkumu, ve kterém se zaměřila na měření kvality kódu a programové bezpečnosti u různých druhů komerčních a běžně dostupných aplikací. Výsledky jsou více než alarmující. Podle zjištění má na 85 % pro uživatele dostupných softwarových aplikací ve svém kódu kritickou zranitelnost. Zranitelnosti menšího významu se ale vyskytovaly ve všech typech testovaného softwaru. Může za to způsob, jakým jsou programové nástroje vytvářeny.

Zranitelnosti byly zjištěny u všech typů aplikací a softwarových produktů, a to jak placených, tak i dostupných zdarma. Nejvíce problémů se vyskytuje v kódu různých komunikátorů a kolaboračních a mítinkových aplikacích, dále pak v aplikacích e-mailových. Velké riziko také představují programy, které dovolují uživatelům produkt customizovat (přizpůsobit) a umožňují tak instalaci různých rozšíření a pluginů.

Kritické zranitelnosti se ale nalézají i v programech s uzavřenou architekturou. Zdá se, že důvodem těchto pochybení je ve většině případů použití části kódu a jiných programových komponent z jiného druhu open-source softwaru. Vývojáři si tímto způsobem běžně usnadňují práci, místo psaní vlastního programového jádra použijí část kódu, nebo funkce ze zdarma šiřitelného softwaru. Tuto část kódu potom přizpůsobí pro účely své aplikace.

Podle výzkumu je ale nejhorším zjištěním to, že naprostá většina těchto zranitelností nemůže být pro vývojáře aplikací neznámá. Open-source komponenty se vyskytují v samém základu kódu a často jsou použité bez jakýchkoliv bezpečnostních úprav. Vývojáři si jich tak musejí být dobře vědomi. Podle mluvčího společnosti Osterman Research je znepokojující, že výrobci softwaru takto záměrně uvolňují aplikace, které jejich zákazníky vystavují nebezpečí.