Об оценке безопасности программного обеспечения без исходных текстов программ
На практике мы часто сталкиваемся с ситуацией, что надо провести тематические исследования безопасности ПО, не имеющего исходных кодов. До недавнего времени двумя основными подходами к решению данной проблемы были метод тестирования «черного ящика» (обычно, fuzz-тестирование) и метод реверс-инжиниринга, включающий дизассемблирование бинарного кода с попыткой восстановления логики работы исходной подпрограммы. Подходы чрезвычайно трудоемки, особенно второй. Можно рассмотреть альтернативные решения. Эти решения (в том числе возможность сертификации ПО без исходных текстов программ) рассмотрены в нашей статье: 
И англоязычный вариант:
Можно также рекомендовать взглянуть на другие публикации и презентации экспертов нашей компании в области безопасности.
Possibly Related Posts:
- IT Security for the Next Generation-2012
- ТБ Форум-2012 — Международный форум «Технологии безопасности» в Крокус-Экспо
- Утвержден нормативный документ ФСТЭК России «Требования к системам обнаружения вторжений»
- Лицензирование в области защиты информации
- СРОЧНО! Лицензии ФСТЭК по ТЗКИ теперь снова можно получать!
Рубрика: Аудит кода, информационная безопасность, Сертификация, Тестирование, Эшелон. Метки: Certification of Programs Without Source Codes, code review, CWE, OWASP Top Ten, PCI DSS/PA-DSS, security code reviews, Security software certification, security software evaluation, Security Testing, Software quality assurance, vulnerability, безопасность программного обеспечения компьютерных сетей, безопасность программных средств, Недекларированные возможности (НДВ), оценка соответстия при отсутствии исходного кода, сертификация без исходных текстов программ, •Vulnerabilities search automation. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.
Интересный блог по подобной тематике:
http://artem.ufoctf.ru/?page_id=464