Аналіз безпеки ПЗ за допомогою BogoSec, Комерція, Різне, статті

У статті обговорюється методика роботи з BogoSec і його впровадження, розглядається вихідна інформація BogoSec при роботі з деякими контрольними прикладами, включаючи Apache Web server, OpenSSH, Sendmail, Perl, та іншими.


Передісторія


Координаційний центр групи CERT (The CERT Coordination Center – CERT / CC) повідомив про 5990 вразливості в 2005 р., в порівнянні з 171 в 1995 р. Багато уразливості в системі безпеки ПЗ мають місце через незадовільних методик, що застосовуються при програмуванні. Деякі уразливості можна виявити за допомогою спеціального алгоритму сканерами вихідного коду, створеними для знаходження потенційних проблем в галузі безпеки. Так як кількість і небезпека потенційних дірок у безпеці на рядок коду збільшується, розумно припустити, що загальна якість вихідного коду з точки зору безпеки погіршується. Показники BogoSec – це обчислені величини, що відображають відносні характеристики якості безпеки вихідного коду, які можна використовувати з метою порівняння.


BogoSec був створений з метою вплинути на розробників, щоб вони з часом почали писати більш безпечний вихідний код. Існують різні сканери, які вказують розробникам на потенційно небезпечні фрагменти коду, проте розробники часто неохоче використовують подібні сканери, так як на перший погляд існує висока ймовірність отримати занадто багато небезпечних (на думку програми) фрагментів коду, насправді такими не є. Крім того, існують труднощі, пов’язані з використанням таких сканерів. BogoSec намагається зменшити кількість “невірних діагнозів”, розширюючи сферу сканування коду за рахунок використання безлічі незалежних сканерів. В результаті виходять високоякісні показники, що дозволяють як розробникам, так і користувачам робити порівняння і судити про якість вихідного коду з точки зору його безпеки.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*