В статье предложено применение подхода антропоморфизма к области безопасности программного кода. Во второй части выбран Топ-8 уязвимостей standalone-программы и составлена сводная таблица взаимодействия этих уязвимостей. Введена метрика уязвимостей программного кода, соответствующая величине эффекта от использования того или иного типа уязвимости, а также корректировочный член, учитывающий взаимодействие этих уязвимостей. Приведен пример расчета метрики уязвимостей из Топ-8 для гипотетической программы, реализующей механизм получения конфиденциальной информации из внутренней базы данных с использованием механизмов идентификации и аутентификации. По полученным расчетам сделаны выводы касательно возможных уязвимостей в такой программе. Обоснована оправданность применения антропоморфического подхода для описания взаимодействия уязвимостей в программном коде.
< ... >
In part 2 the Top-8 vulnerabilities of the standalone program are selected. A metric of software code vulnerabilities was introduced, corresponding to the magnitude of the effect from the use of a particular type of vulnerability, as well as a correction term that takes into account the interaction of these vulnerabilities. An example of calculating the vulnerability metrics from the Top-8 for a hypothetical program that implements the mechanism for obtaining confidential information from the internal database using the identification and authentication mechanisms is given.
Keywords:
software, life cycle, evolution of vulnerabilities, code security assessment, vulnerability metrics, interaction effects, anthropomorphism
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
