Проблема безопасности программ является одной из первостепенных в области информационной безопасности (ИБ), так как наличие уязвимостей в программных ресурсах информационных систем обуславливает возможность реализации промышленных компьютерных атак и вирусных эпидемий, а также причину разного рода непреднамеренных отказов и потери ресурсов. С учетом динамичности и сложности программ и развития технологий информационного противоборства решение указанной проблемы требует непрерывного совершенствования методов контроля, тестирования и испытаний, а именно: статического и динамического анализа, функционального тестирования, экспертиз бюллетеней безопасности, сканирования уязвимостей, антивирусного контроля и др. Синтез и комплексирование указанных подходов подразумевают систематизацию базовых понятий безопасности программного обеспечения (ПО). Но несмотря на то что подобные работы регулярно проводятся, в практике ИБ остается различное толкование понятия уязвимости ПО, в частности наиболее часто смешивают определения ошибок безопасного программирования и известных уязвимостей сетевых сервисов, недекларированных возможностей и программных закладок, скрытых каналов и скрытых криптографических каналов и т. п. В результате возникает не только путаница со средствами выявления уязвимостей и базами уязвимостей, но и с целями и результатами оценки соответствия. Отсутствие национального стандарта также ограничивает развитие отечественных инструментальных средств выявления дефектов и уязвимостей. Разработке предложений по иерархической классификации (таксономии) уязвимостей программ и принципам их построения (систематики) посвящена данная статья.

< ... >