Your SlideShare is downloading. ×
Rabovoluk
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Rabovoluk

225
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
225
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Статический  анализ  кода   Часть  процесса  whitebox-­‐ тестирования,  позволяющая   идентифицировать  типичные   уязвимости  на  ранних  стадиях.  
  • 2. Анализ  кода  как  часть  цикла  разработки   разработка   выкладка   тест  
  • 3. Анализ  кода  как  часть  цикла  разработки   разработка   IDE   manual   autoscan   выкладка   тест  
  • 4. Автоматика   -­‐  Встраиваемость   -­‐  Масштабируемость   -­‐  Policy-­‐check  
  • 5. Автоматика   -­‐  Ложные  срабатывания   -­‐  Сложность  поиска  логических  ошибок   -­‐  Не  учитывается  конфигурация  
  • 6. Коммерческие  продукты  
  • 7. Opensource   Splint   FlawFinder   RIPS   rats    
  • 8. RIPS  
  • 9. variable  Методика  анализа:  top-­‐down   Entry  points   F1()   F2()   Applicaion       F3()   F4()     …     Fn(a,b,c){…}     …  
  • 10. Методика  анализа:  botom-­‐up   Applicaion         fn(x,y,z){…}           dangerous_fn(a,b,c){…}    
  • 11. Методика  анализа   TOP-­‐DOWN   BOTTOM-­‐UP   VS   атака   уязвимость   Взвешенный  подход:   расширяем  список  опасных   функций  снизу-­‐вверх,  проводим   оценку  по  наиболее  вероятным   векторам  сверху-­‐вниз.    
  • 12. Опыт  Mail.Ru  -­‐  Большой  объем  кода  -­‐  Разнообразие  языков  и  платформ  -­‐  Постоянный  цикл  разработки  -­‐  Взаимосвязанная  архитектура  
  • 13. Рабоволюк Ярослав Аналитик ИБ, Mail.Ru yaroslav@corp.mail.ru