Рубрика «Аудит кода»

Утвержден национальный стандарт по разработке безопасного программного обеспечения!

Ваш отзыв

Федеральным агентством по техническому регулированию и метрологии (Росстандартом России) утвержден национальный стандарт ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», разработанный специалистами НПО «Эшелон»!

Утвержденный стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения и формированием (поддержанием) среды обеспечения оперативного устранения выявленных пользователями ошибок программного обеспечения и уязвимостей программы. Стандарт предназначен для разработчиков и производителей программного обеспечения, а также для организаций, выполняющих оценку соответствия процесса разработки программного обеспечения требованиям настоящего стандарта.

Ссылки на некоторые публикации и презентации специалистов НПО «Эшелон» по теме разработанного стандарта представлены далее по тексту:

— статья «28 Магических мер разработки безопасного программного обеспечения» (ссылка);

— статья «Methodological framework for analysis and synthesis of a set of secure software development controls» (ссылка);

— слайды презентации «Как мы писали ГОСТ по SSDL, и что из этого получилось» (ссылка).

Possibly Related Posts:


Знакомимся с SATEC

2 комментария

В 2013 году под эгидой Консорциума по Безопасности Веб Приложений (Web Application Security Consortium, сокращенно WASC) была завершена работа над первой версией документа под названием Критерии Оценки Технологий Статического Анализа (Static Analysis Technologies Evaluation Criteria, сокращенно SATEC). Международная группа экспертов из различных сфер индустрии информационной безопасности провела большую работу, результатом которой стал практический набор критериев, который может быть полезен для любой организации перед которой стоит задача оценки и сравнения программных средств и технологий статического анализа и в конечном итоге выбора конкретного продукта. Стоит отметить, что в начале проекта в его названии делался упор на инструменты статического анализа, но в конце концов стало ясно, что статический анализ сегодня – это нечто гораздо большее, чем просто сканирование исходного кода, поэтому было принято решение о замене слова инструменты на более широкий термин технологии.

SATEC позволяет сравнивать все основные аспекты статических технологий анализа: от основных функций и языковой поддержки до развертывания, технической поддержки, отчетности, лицензирования и многое другое. В дополнение к основному документу авторы так же подготовили оценочную таблицу, которая может быть использована для сбора и сравнения результатов оценки нескольких продуктов (ссылка). Специалисты компании “НПО Эшелон” оказали большую помощь при подготовке русской версии SATEC. Позднее “НПО Эшелон” использовало SATEC при разработке статического анализатора кода AppChecker.

Читать полностью »

Possibly Related Posts:


Статический анализ PHP кода

Ваш отзыв

AppChecker позволяет проводить статический анализ PHP кода. В первую очередь он нацелен на поиск таких опасных дефектов, как:

Но, помимо поиска таких дефектов, статический анализатор AppChecker выявляет и другие типы ошибок в коде, которые возникают в результате опечаток, невнимательности и тому подобное.

Читать полностью »

Possibly Related Posts:


Сравнения языков программирования с позиции безопасности написанного на них кода

Ваш отзыв

Компания Veracode опубликовала результаты исследования зависимости числа уязвимостей в коде от используемого языка программирования. В рамках исследования был выполнен статический анализ более 200 тысяч приложений, который показал, что наибольшее число связанных с безопасностью ошибок присутствует в коде проектов на ASP, ColdFusion и PHP. Учитывая то, что на PHP написаны платформы Drupal, Joomla и WordPress, доля которых среди систем управления контентом составляет около 70% и на которых работает четверть крупнейших сайтов в Сети, язык PHP указан как приносящий наибольшие проблемы с безопасностью.

Читать полностью »

Possibly Related Posts:


Компания «Эшелон» примет участие в InfoSecurity Russia 2014

Ваш отзыв
832245bcd8057ab4e70f475e6d7bbd5a.gif

С 24-го по 26-ое сентября 2014 года в выставочном центре «Крокус Экспо» будет проходить одна из знаковых выставок рынка информационной безопасности InfoSecurity Russia 2014. В рамках выставки компания «Эшелон» традиционно представит свои лучшие продукты и услуги в сфере информационной безопасности.
На стенде «НПО «Эшелон» #F3-2 пройдут интересные встречи с ведущими экспертами компании:

24 сентября

12.00-13.00 «Переход на ISO 27001:2013», Дорофеев Александр, CISSP, CISM, CISA. директор по развитию.
13.00-14.00 Консультирование по вопросам сертификации в системах сертификации ФСТЭК России, ФСБ России и Минобороны России. Михаил Никулин, Технический директор.
14.00-15.00 Консультирование по вопросам применения ПАК «Рубикон» (система обнаружения вторжений, межсетевой экран, однонаправленный шлюз), Олег Гудков, заместитель директора департамента специальных разработок.
15.00-16.00 «SIEM как фундамент построения защищенной автоматизированной системы», Алексей Титов, менеджер проекта КОМРАД SIEM.

25 сентября

12.00-13.00 Консультирование по вопросам внедрения современных систем защиты информации, Евгений Веселов, CISSP, директор департамента проектирования и консалтинга.
13.00-14.00 Консультирование по вопросам аттестации объектов информатизации. Петр Васильев, директор департамента аттестации.
14.00-15.00 «Современные средства выявления дефектов кода», Владислав Швец, менеджер проекта AppChecker.

25-го сентября, 15.00, зал К2.

«Сертификация по новым правилам ФСТЭК России: что требуется от разработчика?», Александр Барабанов, CISSP, к.т.н., CSSLP Директор департамента сертификации и тестирования НПО «Эшелон»

26 сентября

12.00-13.00 Консультирование по вопросам выполнения требований, предъявляемых регуляторами (ФСТЭК России, ФСБ России, Минобороны России) к соискателям лицензий на деятельность в области защиты информации, Игорь Шахалов, заместитель генерального директора по экспертизам.
13.00-14.00 Консультирование по вопросам внедрения и аудита СМИБ в соответствии с ISO 27001:2013, Дорофеев Александр, CISSP, CISM, CISA. директор по развитию
14.00-15.00 «На страже endpoint  security: анонс новых решений»,  Сергей Фирсов, менеджер проекта Сканер-ВС.
15.00-15.20 «Объявление результатов конкурса «Эшелонированная оборона 2014», Вадим Голованов
В рамках конференции планируется несколько выступлений экспертов компании.

«Инновационные проекты Фонда «Сколково» в области информационной безопасности» Эшелон-Инновации будет представлен на стенде #F2. Компания «Эшелон-Инновации» представит программное решение AppChecker, разработанное выходцами из сертификационного центра «Эшелон» и относящееся к сфере аудита безопасности программных приложений. Разработка предназначена для поиска уязвимостей в программном обеспечении на основе анализа исходного кода.

Для того чтобы получить билет на выставку необходимо пройти электронную регистрацию по следующей ссылке:
http://www.infosecurityrussia.ru/2014/expo/npo-echelon

Режим работы выставки с 10:00 до 18:00.

Possibly Related Posts: