В работе представлен методический подход к сравнению статических анализаторов безопасности программного кода. Обосновано сравнение статических анализаторов по показателям результативности и функциональности, определенных международными нормативными документами. В качестве тестовых данных при оценке результативности статических анализаторов предложено использовать синтетические наборы программ с открытым кодом, содержащих уязвимости. Обоснован выбор отдельных критериев оценки качества статических анализаторов безопасности кода в соответствии со стандартами NIST SP 500-268 и SATEC. Проведены эксперименты, позволяющие оценить ряд отечественных проприетарных инструментальных средств и средств, имеющих открытый код. Сделан вывод о настоятельной необходимости развития отечественной нормативной базы тестирования безопасности программ (в первую очередь контроля недекларированных возможностей) и собственно оценки качества статических анализаторов безопасности программного кода.
< ... >
Today Russian citizen becomes the major consumer of a variety of information products provided in digital form: services, data and documents. Moreover citizens are becoming full participants of business processes of public organizations and rightful users of their information systems (IS).
Developers of such social-oriented IS have to dramatically extend their functionality and ability to handle the growing stream of requests from citizens. At the same time developers must solve additional complex tasks in the information security field and establish reliable automatic interactions of information systems of multiple geographically distributed organizations through integration bus SMEV.
Keywords:
information security, security programs, static analysis, vulnerability, weakness, bugs, testing programs, security audit
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
