Служба новостей IDG, Сан-Франциско

Запущен бесплатный сервис проверки Java-кода на уязвимости
Отчет об ошибках смогут получить только непосредственные участники тестируемого проекта с открытым кодом, так что JOR нельзя будет использовать в качестве средства взлома

Компания Fortify Software совместно с Университетом штата Мэриленда ввела в действие бесплатный Internet-сервис проверки на уязвимости исходных текстов Java-приложений с открытым кодом — Java Open Review (JOR) Project. В системе используется программный инструментарий для анализа исходных кодов Fortify Source Code Analysis и средство аналогичного назначения FindBugs, разработанное специалистами университета.

«Отсутствие в исходном коде ошибок, приводящих к уязвимости программы, сегодня важно как никогда, поэтому сообществу Java необходимы развитые инструменты для поиска ошибок, подобные JOR, — считает вице-президент Fortify по продуктам и сервисам Бармак Мефта. — На этапе реализации искать и исправлять ошибки, способные привести к нарушению безопасности, проще и дешевле всего».

Теперь разработчики программ с открытым кодом получат возможность применять для поиска ошибок систему Source Code Analysis, используемую при создании своих продуктов такими крупными производителями программных продуктов, как компании Oracle и Adobe. Правда, результаты, которые выдает JOR, менее подробны, чем у коммерческого варианта инструментария Fortify. Последний распознает около 120 видов уязвимостей, тогда как JOR — только 40 типов ошибок, но относящихся к числу самых грубых и наиболее понятных самим разработчикам.

На протяжении последних нескольких недель в ходе тестирования с помощью JOR были найдены сотни уязвимостей в ряде проектов категории Open Source, в том числе таких, как Apache Tomcat, Zimbra и Java Pet Store. С недавнего времени сервис доступен для любых Java-проектов с открытым кодом.

Вторым элементом JOR, утилитой FindBugs, в свою очередь, пользуется Sun Microsystems; с ее помощью специалисты компании отыскивают ошибки в сервере приложений с открытым кодом GlassFish. По словам директора по контролю качества кода GlassFish Джеффа Халлиуэлла, в компании обязательно ознакомятся и с JOR.

Поделитесь материалом с коллегами и друзьями