Об оценке безопасности программного обеспечения без исходных текстов программ
На практике мы часто сталкиваемся с ситуацией, что надо провести тематические исследования безопасности ПО, не имеющего исходных кодов. До недавнего времени двумя основными подходами к решению данной проблемы были метод тестирования «черного ящика» (обычно, fuzz-тестирование) и метод реверс-инжиниринга, включающий дизассемблирование бинарного кода с попыткой восстановления логики работы исходной подпрограммы. Подходы чрезвычайно трудоемки, особенно второй. Можно рассмотреть альтернативные решения. Эти решения (в том числе возможность сертификации ПО без исходных текстов программ) рассмотрены в нашей статье: 😯
И англоязычный вариант:
Можно также рекомендовать взглянуть на другие публикации и презентации экспертов нашей компании в области безопасности.
Possibly Related Posts:
- Обновленный KOMRAD Enterprise SIEM получил сертификат ФСТЭК России по 4-му уровню доверия
- Успешная сертификация продукта InfoWatch ARMA Industrial Firewall
- Выход книги «Международная безопасность, стратегическая стабильность и информационные технологии»
- В очередной раз группа компаний «Эшелон» запатентовала инновационный подход к тестированию программ на предмет выявления программных закладок и уязвимостей.
- Актуальные вопросы по сертификации средств защиты информации
Эксперт сообщества Алексей Марков
Доктор техн.наук, ст.науч.сотр., CISSP, SBCI, доцент каф. ИБ МГТУ им.Н.Э.Баумана
Рубрика: Аудит кода, информационная безопасность, Сертификация, Тестирование, Эшелон. Метки: •Vulnerabilities search automation, Certification of Programs Without Source Codes, code review, CWE, OWASP Top Ten, PCI DSS/PA-DSS, security code reviews, Security software certification, security software evaluation, Security Testing, Software quality assurance, vulnerability, безопасность программного обеспечения компьютерных сетей, безопасность программных средств, Недекларированные возможности (НДВ), оценка соответстия при отсутствии исходного кода, сертификация без исходных текстов программ. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.
Интересный блог по подобной тематике:
http://artem.ufoctf.ru/?page_id=464