Группа Google-добровольцев сделала патчи в тысячах проектов Open Source

Группа Google-добровольцев сделала патчи в тысячах проектов Open Source. Более 50 сотрудников корпорации на добровольных началах пропатчили более 2600 проектов, в которых обнаружили «слабинки» при широком использовании Java-процесса.

Проблема десерилизации Java проявилась еще в 2015-м, в ноябре. Тогда на восстановления объектов из последовательности байтов обратил внимание коллег консультант FoxGlove Security, с помощью демонстрации атак, которые используют слабые места в WebLogic, Websphere, JBoss и других продуктах категории промежуточного ПО (middleware).

Это подтолкнуло определить существование «слабинок» в программном обеспечении целого ряда вендоров, в том числе Oracle, IBM и Cisco. Выводы были неутешительны - более миллиона приложений подвержены этому «недугу», независимо от того заказные они или с открытым исходником.

Спустя пять месяцев после наглядного показа еще один сотрудник компании выявил, что большинство проектов Open Source до сих пор пользуется версиями Java-библиотеки Apache Commons Collection, в котором и был источник сбоев.

Чтобы наладить ситуацию, достаточно подкорректировать всего одну строку кода. После правок, инженер запустил исправление кодовых баз проектов Open Source со «слабинками», через юзер-интерфейс GitHub сначала самостоятельно, а после к этому были привлечены и другие специалисты. Когда сотрудники углубились в работу, то выяснилось, что проблема куда более серьезная, чем им представлялось в начале. Оказывается, для исправления ситуации не достаточно подкорректировать один только Open Source, правки необходимо внести и в остальные, зависимые от него проекты. После отправки SQL-запроса, который проанализировал весь публичный код GitHub, было обнаружено 2600 уязвимых проектов. Выяснив это, сотрудники компании решили не предавать это огласке, а устранить дефекты своими силами.

Софтверный инженер Google Джастин Танни отметила, что ранее для этого использовалось спецсредство Rosie, но ввиду его отсутствия, пропатчиванием пришлось заняться 50 специалистам вручную. На это у сотрудников ушло 20% личного времени.

Подкорректировать удалось только Open Source-проекты GitHub, но сбой угрожает и многим другим проектам. Недавно один хакер воспользовался уязвимостью Java-десерилизации и совершил кибернападение на транспортное управление Сан-Франциско и получил коды доступа к критическим системам и инфраструктуре.

Франция