Об оценке безопасности программного обеспечения без исходных текстов программ

На практике мы часто сталкиваемся с ситуацией, что надо провести тематические исследования безопасности ПО, не имеющего исходных кодов. До недавнего времени двумя основными подходами к решению данной проблемы были метод тестирования «черного ящика» (обычно, fuzz-тестирование) и метод реверс-инжиниринга, включающий дизассемблирование бинарного кода с попыткой восстановления логики работы исходной подпрограммы. Подходы чрезвычайно трудоемки, особенно второй. Можно рассмотреть альтернативные решения. Эти решения (в том числе возможность сертификации ПО без исходных текстов программ) рассмотрены в нашей статье: 😯

• Барабанов А.В., Марков А.С., Фадин А.А. Сертификация программ без исходных текстов // Открытые системы. СУБД. 2011. № 4. С. 38-41.

И англоязычный вариант:

•  A. Barabanov, А. Markov, А. Fadin. Software Certification Without Source Codes. Open Systems. 2011. №4. P.38-41.

Можно также рекомендовать взглянуть на другие публикации и презентации экспертов нашей компании в области безопасности.