Аналіз безпеки ПЗ за допомогою BogoSec.

У статті обговорюється методика роботи з BogoSec і його впровадження, розглядається вихідна інформація BogoSec при роботі з деякими контрольними прикладами, включаючи Apache Web server, OpenSSH, Sendmail, Perl, та іншими.

Передісторія

Координаційний центр групи CERT (The CERT Coordination Center - CERT / CC) повідомив про 5990 вразливості в 2005 р., в порівнянні з 171 в 1995 р. Багато вразливості в системі безпеки ПЗ мають місце через незадовільні методик, що застосовуються при програмуванні. Деякі уразливості можна виявити за допомогою спеціального алгоритму сканерами вихідного коду, створеними для знаходження потенційних проблем в галузі безпеки. Так як кількість і небезпеку потенційних дірок в безпеці на рядок коду збільшується, розумно припустити, що загальна якість вихідного коду з точки зору безпеки погіршується. Показники BogoSec - це обчислені величини, що відображають відносні характеристики якості безпеки вихідного коду, які можна використовувати з метою порівняння.

BogoSec був створений з метою вплинути на розробників, щоб вони з часом почали писати більш безпечний вихідний код. Існують різні сканери, які вказують розробникам на потенційно небезпечні фрагменти коду, проте розробники часто неохоче використовують подібні сканери, тому що на перший погляд існує висока ймовірність отримати занадто багато небезпечних (на думку програми) фрагментів коду, насправді такими не є. Крім того, існують труднощі, пов’язані з використанням таких сканерів. BogoSec намагається зменшити кількість “невірних діагнозів”, розширюючи сферу сканування коду за рахунок використання безлічі незалежних сканерів. У результаті виходять високоякісні показники, що дозволяють як розробникам, так і користувачам робити порівняння і судити про якість вихідного коду з точки зору його безпеки.

16 October 2006 | , , , , безпека, впровадження, робота, сервер, стаття

Ядро Linux - ядро реального часу
Як падають Linux-и

More reading: • Анализ безопасности ПО при помощи BogoSec. »»»
В статье обсуждается методика работы с BogoSec и его внедрение,... • Transmission BitTorrent стає клієнтом Ubuntu за замовчуванням. »»»
Transmission - це популярний кросплатформний BitTorrent клієнт, що включає в... • Доступні для завантаження фінальні ISO образи Linux дистрибутива Fedora 11. »»»
4 червня були випущені фінальні ISO образи Fedora 11, офіційний... • Поштова служба США перейшла на використання Linux. »»»
Поштова служба США (USPS) перевела 1300 своїх серверів, на яких... • Поштова служба США перейшла на використання Linux. »»»
Поштова служба США (USPS) перевела 1300 своїх серверів, на яких...