Участники программы Zero Day Initiative (ZDI) опубликовали очередной список компаний, которые недостаточно оперативно закрывают выявляемые уязвимости в своих программных продуктах. По итогам второго полугодия 2011 года в этом списке снова лидируют IBM, Hewlett-Packard и Microsoft, сообщает CyberSecurity.ru.
ZDI регулярно выпускает отчеты о уязвимостях в программных продуктах, не устраняемых разработчиками в течение как минимум 6 месяцев.
В последнем отчете говорится, что за весь 2011 год обнаружено 29 уязвимостей "нулевого дня", данные по которым были предоставлены шестерым крупнейшим разработчикам софта.
10 багов были выявлены в продуктах IBM, шесть в продуктах HP и пять в решениях Microsoft. Среди других разработчиков, которые не слишком торопятся исправлять ошибки в программах, называются компании CA, Cisco и EMC.
Программа ZDI появилась в 2006 году по инициативе американской компании Tipping Point (в настоящее время - HP Tipping Point), известной проведением хакерских состязаний Pwn2Own, в ходе которых осуществляется взлом популярных приложений за счет неизвестных ранее уязвимостей.
В начале августа 2010 года ZDI, чтобы "расшевелить" разработчиков, ввела шестимесячный мораторий на разглашение информации об этих и последующих "дырах": если за полгода после информирования разработчика о наличии в его программе "дыры" тот не выпустит "заплатку" или не сможет дать разумное объяснение ее отсутствию, ZDI публично обнародует описание уязвимости, а также советы по ее обходу пользователями.
К тому времени у экспертов программы накопилось более 30 уязвимостей высокой степени риска, о каждой из которых были поставлены в известность разработчики соответствующих программных продуктов, но которые так и не были устранены.
По словам представителей HP Tipping Point, данные об уязвимостях компания получает как за счет собственного анализа, так и за счет покупки данных у разработчиков ПО.