Анализ безопасности ПО при помощи BogoSec.

В статье обсуждается методика работы с BogoSec и его внедрение, рассматривается выходная информация BogoSec при работе с некоторыми контрольными примерами, включая Apache Web server, OpenSSH, Sendmail, Perl, и другими.

Предыстория

Координационный центр группы CERT (The CERT Coordination Center - CERT/CC) сообщил о 5990 уязвимостях в 2005 г., по сравнению с 171 в 1995 г. Многие уязвимости в системе безопасности ПО имеют место из-за неудовлетворительных методик, применяющихся при программировании. Некоторые уязвимости можно обнаружить с помощью специального алгоритма сканерами исходного кода, созданными для нахождения потенциальных проблем в области безопасности. Так как количество и опасность потенциальных дыр в безопасности на строку кода увеличивается, разумно предположить, что общее качество исходного кода с точки зрения безопасности ухудшается. Показатели BogoSec - это вычисленные величины, отражающие относительные характеристики качества безопасности исходного кода, которые можно использовать с целью сравнения.

BogoSec был создан с целью повлиять на разработчиков, чтобы они со временем начали писать более безопасный исходный код. Существуют различные сканеры, которые указывают разработчикам на потенциально небезопасные фрагменты кода, однако разработчики зачастую неохотно используют подобные сканеры, так как на первый взгляд существует высокая вероятность получить слишком много небезопасных (по мнению программы) фрагментов кода, в действительности таковыми не являющихся. Кроме того, существуют трудности, связанные с использованием таких сканеров. BogoSec пытается уменьшить количество “неверных диагнозов”, расширяя сферу сканирования кода за счёт использования множества независимых сканеров. В результате получаются высококачественные показатели, позволяющие как разработчикам, так и пользователям делать сравнения и судить о качестве исходного кода с точки зрения его безопасности.

16 October 2006 | анализ, безопасность, внедрение, информация, по, пример, работа, сервер, статья

прямо холодильного оборудования

Ядро Linux - ядро реального времени
Как падают Linux-ы

More reading: • Аналіз безпеки ПЗ за допомогою BogoSec. »»»
У статті обговорюється методика роботи з BogoSec і його впровадження,... • Safety analysis software with BogoSec. »»»
The article discusses the technique of working with BogoSec and... • Команды AIX, без которых вам не обойтись. »»»
Cуществует некоторое количество важнейших команд, которые используются всеми и постоянно.... • La sécurité des logiciels d’analyse avec BogoSec. »»»
L’article aborde la technique de travailler avec BogoSec et son... • Sicherheits-Analyse-Software mit BogoSec. »»»
Der Artikel beschreibt die Technik des Arbeitens mit BogoSec und...