Аутсорсинг разработки ПО - источник повышенного риска?
Найден новый виновник нарастающей волны уязвимостей программного обеспечения - аутсорсинг программирования.
Как утверждается в отчете британской аналитической группы Quocirca, тенденция к передаче работы по программированию на субподряд служит главной причиной снижения уровня безопасности делового ПО. Опросив по заказу компании Fortify Software 250 ИТ-директоров и руководителей подразделений в США, Великобритании и Германии, Quocirca пришла к заключению, что 90% организаций, ставших жертвами хакеров, отдают на субподряд разработку свыше 40% своих приложений.
Однако погоня за выигрышем в сроках и стоимости работ при аутсорсинге приложений в подавляющем большинстве случаев отодвигает вопросы безопасности на второй план. 60% респондентов сообщили, что на начальном этапе они не оговаривали уровень безопасности, а 20% опрошенных в Великобритании вообще не обращают внимания на безопасность при аутсорсинге приложений.
Чем же вызвано такое рискованное поведение? Главная причина, по мнению авторов отчета, заключается в том, что компании чрезмерно увлеклись технологиями Web 2.0, которые они еще плохо понимают, и параллельно спешат использовать сервисно-ориентированные архитектуры (SOA), чтобы предоставить ПО в распоряжение любимых партнеров. Что касается собственно аутсорсинга, то проблема, по мнению Fortify, кроется в невозможности для компании-заказчика контролировать процесс программирования, в каких бы хороших отношениях она ни находилась с поставщиком услуг.
На переднем крае движения софтверного аутсорсинга находятся американские организации. Согласно исследованию, 61% опрошенных компаний в США отдают на сторону свыше 40% работ по программированию. Для Германии эта цифра заметно меньше, а Великобритания оказалась примерно посередине благодаря своему тяготению к финансовым услугам. По увлечению Web 2.0 Великобритания ближе к США, чем к Германии.
«Результаты этого исследования помогают объяснить внезапный рост числа случаев утечки данных, наблюдаемый в последнее время, и должны послужить предупреждением любому руководителю, чья компания опирается в своей основной деятельности на горы программного кода», - комментирует член правления Fortify и бывший советник Белого дома по кибербезопасности Говард Шмидт.
Компании могут по крайней мере попытаться защитить себя от специфических угроз, вызванных низкокачественным программированием, при помощи систем обнаружения лазеек - категории ПО, переживающей в последнее время заметный подъем. Так что опять, чтобы решить проблемы безопасности программного обеспечения, компании вынуждены покупать еще больше того же ПО.
|