Статический	  анализ	  кода	      Часть	  процесса	  whitebox-­‐    тестирования,	  позволяющая	      идентифицировать	  т...
Анализ	  кода	  как	  часть	  цикла	  разработки	                                         разработка	          выкладка	  ...
Анализ	  кода	  как	  часть	  цикла	  разработки	                                         разработка	                     ...
Автоматика	                   -­‐  Встраиваемость	                   -­‐  Масштабируемость	                   -­‐  Policy-...
Автоматика	                   -­‐  Ложные	  срабатывания	                   -­‐  Сложность	  поиска	  логических	  ошибок	...
Коммерческие	  продукты	  
Opensource	      Splint	      FlawFinder	      RIPS	      rats	      	  
RIPS	  
variable	  Методика	  анализа:	  top-­‐down	             Entry	  points	                                           F1()	  ...
Методика	  анализа:	  botom-­‐up	                             Applicaion	                             	                   ...
Методика	  анализа	                        TOP-­‐DOWN	              BOTTOM-­‐UP	                                          ...
Опыт	  Mail.Ru	  -­‐    Большой	  объем	  кода	  -­‐    Разнообразие	  языков	  и	  платформ	  -­‐    Постоянный	  цикл	  ...
Рабоволюк Ярослав  Аналитик ИБ, Mail.Ru yaroslav@corp.mail.ru
Rabovoluk
Rabovoluk
Upcoming SlideShare
Loading in …5
×

Rabovoluk

453 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
453
On SlideShare
0
From Embeds
0
Number of Embeds
121
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Rabovoluk

  1. 1. Статический  анализ  кода   Часть  процесса  whitebox-­‐ тестирования,  позволяющая   идентифицировать  типичные   уязвимости  на  ранних  стадиях.  
  2. 2. Анализ  кода  как  часть  цикла  разработки   разработка   выкладка   тест  
  3. 3. Анализ  кода  как  часть  цикла  разработки   разработка   IDE   manual   autoscan   выкладка   тест  
  4. 4. Автоматика   -­‐  Встраиваемость   -­‐  Масштабируемость   -­‐  Policy-­‐check  
  5. 5. Автоматика   -­‐  Ложные  срабатывания   -­‐  Сложность  поиска  логических  ошибок   -­‐  Не  учитывается  конфигурация  
  6. 6. Коммерческие  продукты  
  7. 7. Opensource   Splint   FlawFinder   RIPS   rats    
  8. 8. RIPS  
  9. 9. variable  Методика  анализа:  top-­‐down   Entry  points   F1()   F2()   Applicaion       F3()   F4()     …     Fn(a,b,c){…}     …  
  10. 10. Методика  анализа:  botom-­‐up   Applicaion         fn(x,y,z){…}           dangerous_fn(a,b,c){…}    
  11. 11. Методика  анализа   TOP-­‐DOWN   BOTTOM-­‐UP   VS   атака   уязвимость   Взвешенный  подход:   расширяем  список  опасных   функций  снизу-­‐вверх,  проводим   оценку  по  наиболее  вероятным   векторам  сверху-­‐вниз.    
  12. 12. Опыт  Mail.Ru  -­‐  Большой  объем  кода  -­‐  Разнообразие  языков  и  платформ  -­‐  Постоянный  цикл  разработки  -­‐  Взаимосвязанная  архитектура  
  13. 13. Рабоволюк Ярослав Аналитик ИБ, Mail.Ru yaroslav@corp.mail.ru

×