Исходный код | Уязвимости программного кода

АНАЛИЗ МЕТОДОВ КЛАССИФИКАЦИИ УЯЗВИМОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ИХ ПРИМЕНЕНИЕ ПРИ ПРОВЕДЕНИИ СТАТИЧЕСКОГО АНАЛИЗА ИСХОДНОГО КОДА НА ЯЗЫКЕ JAVA

Исходный код. Уязвимости программного кода. Анализ методов классификации уязвимостей.

В настоящее время статический анализ исходного кода, т.е. анализ кода без его исполнения, является одним из наиболее эффективных способов автоматизации задачи обнаружения ошибок и уязвимостей уровня исходного кода. Разработано большое количество инструментов статического анализа, поддерживающих популярные языки программирования. Результатом работы таких инструментов обычно является формализованный отчет, чаще всего в формате XML. Однако эти инструменты не проводят четкой границы между уязвимостями и простыми ошибками.

Кроме того, наиболее популярные инструменты статического анализа Java-кода, такие как Findbugs, SpotBugs, PVS-Studio, в отчетах об обнаруженных проблемах не предоставляют данных, пригодных для агрегированной оценки общей уязвимости программного обеспечения. В связи с этим возникает задача выбора такого способа классификации результатов, который позволил бы отличить простую ошибку от уязвимости и формально оценить влияние обнаруженной уязвимости на безопасность.

АНАЛИЗ-МЕТОДОВ-КЛАССИФИКАЦИИ-УЯЗВИМОСТЕЙ-ПРОГРАММНОГО-ОБЕСПЕЧЕНИЯ

Загрузить документ