Компания Fortify Software совместно с Университетом Мэриленда ввела в действие бесплатный онлайн-сервис проверки на уязвимости исходных текстов Java-приложений с открытым кодом - Java Open Review (JOR) Project. В системе используется программный продукт для анализа исходных кодов Fortify Source Code Analysis и инструментальное средство аналогичного назначения FindBugs, разработанное специалистами университета.
"Отсутствие в исходном коде ошибок, приводящих к уязвимости программы, сегодня важно как никогда, поэтому сообществу Java необходимы развитые инструментальные средства для поиска ошибок, подобные JOR, - считает вице-президент Fortify по продуктам и сервисам Бармак Мефта. - Очевидно, что на этапе реализации искать и исправлять ошибки безопасности проще и дешевле всего".
Теперь разработчики ПО с открытым кодом получат возможность применять для поиска ошибок систему Source Code Analysis, используемую при создании своих продуктов такими компаниями, как Oracle и Adobe. Правда, результаты, которые выдает JOR, менее подробны, чем у коммерческого продукта Fortify. Последний распознает около 120 видов уязвимостей, тогда как JOR - только 40 типов ошибок, но относящихся к числу самых грубых и наиболее понятных самим разработчикам.
Как подчеркнул Мефта, отчет об ошибках смогут получить только непосредственные участники тестируемого проекта с открытым кодом, так что JOR нельзя будет использовать, как средство взлома.
На протяжении последних нескольких недель в ходе тестирования с помощью JOR были найдены сотни уязвимостей в ряде проектов с открытым кодом, в том числе таких, как Apache Tomcat, Zimbra и Java Pet Store. С недавнего времени сервис доступен для любых проектов на Java с открытым кодом.
Вторым элементом JOR, утилитой FindBugs, в свою очередь, пользуется Sun Microsystems - с ее помощью специалисты компании отыскивают ошибки в сервере приложений с открытым кодом GlassFish. По словам директора по контролю качества кода GlassFish Джеффа Халлиуэлла, в компании обязательно ознакомятся и с JOR.