SlideShare a Scribd company logo

Заблуждения и стереотипы относительно анализа кода

R
RISSPA_SPb
Technology
1 of 15
Download to read offline
ЗАБЛУЖДЕНИЯ И СТЕРЕОТИПЫ ОТНОСИТЕЛЬНО А Н А Л И З А К ОД А Е в г е н и й Род ы г и н
Основные методы обеспечения безопасного применения ПО • • • • • • формирование и контроль выполнения требований по безопасному проектированию, реализации и использованию программного обеспечения на всех этапах его жизненного цикла анализ среды функционирования ПО, направленный на выявление характеристик, которые считаются опасными или потенциально опасными анализ программного обеспечения, направленный на выявление функциональных возможностей и характеристик, которые считаются опасными или потенциально опасными использование методов и средств, направленных на обеспечение устойчивости среды функционирования от негативного воздействия ПО контроль среды функционирования ПО (динамический контроль поведения, изменения характеристик и т.п.) в процессе функционирования ИС контроль программного обеспечения в процессе его функционирования
Типовой SAST Исходные тексты БД правил БД кода ПАРСЕР Модули анализа… ОТЧЕТЫ
Основные методы наполнения политик SAST Анализ угроз Актуальные угрозы для информационной системы Стандарты и опыт Интерпретация угроз Политики безопасности Политики качества Стандарты Языка SAST Отчеты Стандарты и опыт
Проблема неопределенности SAST Средcтва разработки Разработчик Компилятор Исходные тексты ??? SAST
Что происходит ?
Что происходит ?
Проблема неопределенности IDA
Реализация постановщика задачи Язык реализации Объем исходных текстов (байт) Объем программы (байт) Количество функций в исходных текстах Количество функций в программе Количество команд ветвления в исходных текстах Количество команд ветвления в программе (jmp, call и т.п.) Turbo С 16 bit 5021 14510 8 95 10 468 Реализация конкурсантов (степень избыточности загрузочного кода очень мала) Разработчик «Altair / ODDS» Язык реализации tasm Объем исходных текстов (байт) 2998 Объем программы (байт) 48 Количество функций в исходных текстах 3 Количество функций в программе 3 Количество команд ветвления в исходных текстах 2 Количество команд ветвления в программе (jmp, call и т.п.) 2 Выявленная таким образом избыточность устранена: (в разах) По объему исходных текстов 1,7 По объему программы 302,3 По количеству функций в исходных текстах 2,7 По количеству функций в программе 31,7 По количеству команд ветвления в исходных текстах 5,0 По количеству команд ветвления в программе 234,0
Уровни абстракции Уровень замысла (ТЗ) Уровень архитектуры (алгоритмы) Уровень реализации архитектуры (алгоритмов) Уровень среды разработки (VC) Уровень компилятора Уровень линковщика Уровень кода Физический уровень
Динамические анализаторы Контроль среды Контроль кода внешний Контроль кода внутренний
Типовой DAST БД правил Модули анализа и реакции ОТЧЕТЫ
Механизм прогнозирования состояния ИС DAST Окно анализа Текущее состояние ИС
Уровни абстракции Уровень замысла (ТЗ) Уровень архитектуры (алгоритмы) Уровень реализации архитектуры (алгоритмов) Уровень среды разработки (VC) Уровень компилятора Уровень линковщика Уровень кода (с учетом состояния среды) Физический уровень
Родыгин Евгений Валентинович +7 (981) 701-45-07 e.v.rodigin@mstandard.ru www.mstandard.ru

Recommended

Брич Наталья - Невыносимая переносимость кроссплатформенных приложений на при...
Брич Наталья - Невыносимая переносимость кроссплатформенных приложений на при...Брич Наталья - Невыносимая переносимость кроссплатформенных приложений на при...
Брич Наталья - Невыносимая переносимость кроссплатформенных приложений на при...QA Club Minsk
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancevAlexei Lupan
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
КГТУ Лекция 2: Обеспечение Качества Программного Обеспечения
КГТУ Лекция 2: Обеспечение Качества Программного ОбеспеченияКГТУ Лекция 2: Обеспечение Качества Программного Обеспечения
КГТУ Лекция 2: Обеспечение Качества Программного ОбеспеченияIosif Itkin
 
программное обеспечение процесса тестирования
программное обеспечение процесса тестированияпрограммное обеспечение процесса тестирования
программное обеспечение процесса тестированияDressTester
 
Lektsia 7
Lektsia 7Lektsia 7
Lektsia 7Павел Бибиксаров
 
сергей андреев
сергей андреевсергей андреев
сергей андреевAlexei Lupan
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmAlexei Lupan
 

Recommended

Брич Наталья - Невыносимая переносимость кроссплатформенных приложений на при...
Брич Наталья - Невыносимая переносимость кроссплатформенных приложений на при...Брич Наталья - Невыносимая переносимость кроссплатформенных приложений на при...
Брич Наталья - Невыносимая переносимость кроссплатформенных приложений на при...QA Club Minsk
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancevAlexei Lupan
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
КГТУ Лекция 2: Обеспечение Качества Программного Обеспечения
КГТУ Лекция 2: Обеспечение Качества Программного ОбеспеченияКГТУ Лекция 2: Обеспечение Качества Программного Обеспечения
КГТУ Лекция 2: Обеспечение Качества Программного ОбеспеченияIosif Itkin
 
программное обеспечение процесса тестирования
программное обеспечение процесса тестированияпрограммное обеспечение процесса тестирования
программное обеспечение процесса тестированияDressTester
 
Lektsia 7
Lektsia 7Lektsia 7
Lektsia 7Павел Бибиксаров
 
сергей андреев
сергей андреевсергей андреев
сергей андреевAlexei Lupan
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmAlexei Lupan
 
Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazovAlexei Lupan
 
Программное обеспечение для автоматизации испытаний сложных программно-аппара...
Программное обеспечение для автоматизации испытаний сложных программно-аппара...Программное обеспечение для автоматизации испытаний сложных программно-аппара...
Программное обеспечение для автоматизации испытаний сложных программно-аппара...SQALab
 
About Testers
About TestersAbout Testers
About Testersantsh
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest
 
Presentation_1369906540313
Presentation_1369906540313Presentation_1369906540313
Presentation_1369906540313Alexander Nevidimov
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нтAlexei Lupan
 
TMPA-2013 Smirnov
TMPA-2013 SmirnovTMPA-2013 Smirnov
TMPA-2013 SmirnovIosif Itkin
 
Heavy metal testing Part 1 and 2
Heavy metal testing Part 1 and 2Heavy metal testing Part 1 and 2
Heavy metal testing Part 1 and 2Roman Ivliev
 
План тестирования
План тестированияПлан тестирования
План тестированияEDISON Software Development Centre
 
Александр Калугин - Простота тестирования маленького системного ПО
Александр Калугин - Простота тестирования маленького системного ПОАлександр Калугин - Простота тестирования маленького системного ПО
Александр Калугин - Простота тестирования маленького системного ПОSQALab
 
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщика
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщикаПромышленная разработка ПО. Лекция 5. Особенности работы тестировщика
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщикаMikhail Payson
 
Sonar quality
Sonar qualitySonar quality
Sonar qualitydotNETUserGroupDnipro
 
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Iosif Itkin
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
QA и тестирование игр
QA и тестирование игрQA и тестирование игр
QA и тестирование игрViktoria Odnokoz
 
Презентация к защите курсовой работы на заказ на www.studentam-in.ru
Презентация к защите курсовой работы на заказ на www.studentam-in.ruПрезентация к защите курсовой работы на заказ на www.studentam-in.ru
Презентация к защите курсовой работы на заказ на www.studentam-in.ruAlexandr Konfidentsialno
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...SQALab
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Alexei Lupan
 
TMPA-2013 Itsykson: Java Program Analysis
TMPA-2013 Itsykson: Java Program AnalysisTMPA-2013 Itsykson: Java Program Analysis
TMPA-2013 Itsykson: Java Program AnalysisIosif Itkin
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014Jason Coombs
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
3
33
3Baska789
 

More Related Content

What's hot

Программное обеспечение для автоматизации испытаний сложных программно-аппара...
Программное обеспечение для автоматизации испытаний сложных программно-аппара...Программное обеспечение для автоматизации испытаний сложных программно-аппара...
Программное обеспечение для автоматизации испытаний сложных программно-аппара...SQALab
 
About Testers
About TestersAbout Testers
About Testersantsh
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нтAlexei Lupan
 
TMPA-2013 Smirnov
TMPA-2013 SmirnovTMPA-2013 Smirnov
TMPA-2013 SmirnovIosif Itkin
 
Heavy metal testing Part 1 and 2
Heavy metal testing Part 1 and 2Heavy metal testing Part 1 and 2
Heavy metal testing Part 1 and 2Roman Ivliev
 
Александр Калугин - Простота тестирования маленького системного ПО
Александр Калугин - Простота тестирования маленького системного ПОАлександр Калугин - Простота тестирования маленького системного ПО
Александр Калугин - Простота тестирования маленького системного ПОSQALab
 
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщика
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщикаПромышленная разработка ПО. Лекция 5. Особенности работы тестировщика
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщикаMikhail Payson
 
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Iosif Itkin
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
QA и тестирование игр
QA и тестирование игрQA и тестирование игр
QA и тестирование игрViktoria Odnokoz
 
Презентация к защите курсовой работы на заказ на www.studentam-in.ru
Презентация к защите курсовой работы на заказ на www.studentam-in.ruПрезентация к защите курсовой работы на заказ на www.studentam-in.ru
Презентация к защите курсовой работы на заказ на www.studentam-in.ruAlexandr Konfidentsialno
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...SQALab
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Alexei Lupan
 
TMPA-2013 Itsykson: Java Program Analysis
TMPA-2013 Itsykson: Java Program AnalysisTMPA-2013 Itsykson: Java Program Analysis
TMPA-2013 Itsykson: Java Program AnalysisIosif Itkin
 

What's hot (19)

Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazov
 
Программное обеспечение для автоматизации испытаний сложных программно-аппара...
Программное обеспечение для автоматизации испытаний сложных программно-аппара...Программное обеспечение для автоматизации испытаний сложных программно-аппара...
Программное обеспечение для автоматизации испытаний сложных программно-аппара...
 
About Testers
About TestersAbout Testers
About Testers
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
 
Presentation_1369906540313
Presentation_1369906540313Presentation_1369906540313
Presentation_1369906540313
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нт
 
TMPA-2013 Smirnov
TMPA-2013 SmirnovTMPA-2013 Smirnov
TMPA-2013 Smirnov
 
Heavy metal testing Part 1 and 2
Heavy metal testing Part 1 and 2Heavy metal testing Part 1 and 2
Heavy metal testing Part 1 and 2
 
План тестирования
План тестированияПлан тестирования
План тестирования
 
Александр Калугин - Простота тестирования маленького системного ПО
Александр Калугин - Простота тестирования маленького системного ПОАлександр Калугин - Простота тестирования маленького системного ПО
Александр Калугин - Простота тестирования маленького системного ПО
 
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщика
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщикаПромышленная разработка ПО. Лекция 5. Особенности работы тестировщика
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщика
 
Sonar quality
Sonar qualitySonar quality
Sonar quality
 
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...Testing of a Risk Control System Implementation for High-Load Exchange and Br...
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
 
QA и тестирование игр
QA и тестирование игрQA и тестирование игр
QA и тестирование игр
 
Презентация к защите курсовой работы на заказ на www.studentam-in.ru
Презентация к защите курсовой работы на заказ на www.studentam-in.ruПрезентация к защите курсовой работы на заказ на www.studentam-in.ru
Презентация к защите курсовой работы на заказ на www.studentam-in.ru
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
 
TMPA-2013 Itsykson: Java Program Analysis
TMPA-2013 Itsykson: Java Program AnalysisTMPA-2013 Itsykson: Java Program Analysis
TMPA-2013 Itsykson: Java Program Analysis
 

Viewers also liked

JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014Jason Coombs
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...Yuyu Wahyudin
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
Job skills gyu
Job skills gyuJob skills gyu
Job skills gyucarragan
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
IIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresIIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresJason Coombs
 
Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...
Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...
Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...Jason Coombs
 
2014 MKG Enterprises Corp. employment application
2014 MKG Enterprises Corp. employment application2014 MKG Enterprises Corp. employment application
2014 MKG Enterprises Corp. employment applicationMKG Enterprises Corp
 
יישום חוק חינוך
יישום חוק חינוךיישום חוק חינוך
יישום חוק חינוךsusanake
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoroAffrontare il colloquio di lavoro
Affrontare il colloquio di lavoroSerena Sbanchi
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated December 15, 2013
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated December 15, 2013JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated December 15, 2013
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated December 15, 2013Jason Coombs
 
DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0Marcus Drost
 
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์28801125399
 

Viewers also liked (20)

JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated March 26, 2014
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
3
33
3
 
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
Job skills gyu
Job skills gyuJob skills gyu
Job skills gyu
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
IIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresIIS Security And Programming Countermeasures
IIS Security And Programming Countermeasures
 
1
11
1
 
Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...
Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...
Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...
 
2014 MKG Enterprises Corp. employment application
2014 MKG Enterprises Corp. employment application2014 MKG Enterprises Corp. employment application
2014 MKG Enterprises Corp. employment application
 
Resume
ResumeResume
Resume
 
יישום חוק חינוך
יישום חוק חינוךיישום חוק חינוך
יישום חוק חינוך
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
 
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoroAffrontare il colloquio di lavoro
Affrontare il colloquio di lavoro
 
Aw16 ge
Aw16 geAw16 ge
Aw16 ge
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated December 15, 2013
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated December 15, 2013JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated December 15, 2013
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated December 15, 2013
 
DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0DREAM Principles & User Guide 1.0
DREAM Principles & User Guide 1.0
 
7
77
7
 
โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์โครงร่างโครงงานคอมิวเตอร์
โครงร่างโครงงานคอมิวเตอร์
 

Similar to Заблуждения и стереотипы относительно анализа кода

Trpo 1 введение
Trpo 1 введениеTrpo 1 введение
Trpo 1 введениеpogromskaya
 
Презентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияПрезентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияRauan Ibraikhan
 
презентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияпрезентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияRauan Ibraikhan
 
Профстандарт "Системный программист"
Профстандарт "Системный программист"Профстандарт "Системный программист"
Профстандарт "Системный программист"Денис Ефремов
 
Open Source Testing Framework: real project example and best practices
Open Source Testing Framework: real project example and best practicesOpen Source Testing Framework: real project example and best practices
Open Source Testing Framework: real project example and best practicesAliaksandr Ikhelis
 
Реализация тестового фреймворка на основе OPEN-SOURCE инструментов
Реализация тестового фреймворка на основе OPEN-SOURCE инструментовРеализация тестового фреймворка на основе OPEN-SOURCE инструментов
Реализация тестового фреймворка на основе OPEN-SOURCE инструментовSQALab
 
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Andrey Fadin
 
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной командыМаргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной командыSQALab
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?sqadays8
 
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...yaevents
 
Building Open Source Test Automation Frameworks. Watir based automation case ...
Building Open Source Test Automation Frameworks. Watir based automation case ...Building Open Source Test Automation Frameworks. Watir based automation case ...
Building Open Source Test Automation Frameworks. Watir based automation case ...Aliaksandr Ikhelis
 
Vladimir Itsykson. CSEDays
Vladimir Itsykson. CSEDaysVladimir Itsykson. CSEDays
Vladimir Itsykson. CSEDaysLiloSEA
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Поиск уязвимостей в программах с помощью анализаторов кода
Поиск уязвимостей в программах с помощью анализаторов кодаПоиск уязвимостей в программах с помощью анализаторов кода
Поиск уязвимостей в программах с помощью анализаторов кодаTatyanazaxarova
 
Презентация компании БМС Софт
Презентация компании БМС СофтПрезентация компании БМС Софт
Презентация компании БМС СофтБМС Софт
 
метод организации репозитория исходного кода
метод организации репозитория исходного кодаметод организации репозитория исходного кода
метод организации репозитория исходного кодаSergii Shmarkatiuk
 
АНТОН СЕРПУТЬКО «Start performance testing from scratch» QADay 2019
АНТОН СЕРПУТЬКО «Start performance testing from scratch» QADay 2019АНТОН СЕРПУТЬКО «Start performance testing from scratch» QADay 2019
АНТОН СЕРПУТЬКО «Start performance testing from scratch» QADay 2019GoQA
 
2017 ВКФ Храбров И. С.
2017 ВКФ Храбров И. С.2017 ВКФ Храбров И. С.
2017 ВКФ Храбров И. С.RF-Lab
 
Обзор научно-исследовательских работ
Обзор научно-исследовательских работОбзор научно-исследовательских работ
Обзор научно-исследовательских работAncud Ltd.
 

Similar to Заблуждения и стереотипы относительно анализа кода (20)

Trpo 1 введение
Trpo 1 введениеTrpo 1 введение
Trpo 1 введение
 
Презентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияПрезентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспечения
 
презентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияпрезентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспечения
 
Профстандарт "Системный программист"
Профстандарт "Системный программист"Профстандарт "Системный программист"
Профстандарт "Системный программист"
 
Open Source Testing Framework: real project example and best practices
Open Source Testing Framework: real project example and best practicesOpen Source Testing Framework: real project example and best practices
Open Source Testing Framework: real project example and best practices
 
Реализация тестового фреймворка на основе OPEN-SOURCE инструментов
Реализация тестового фреймворка на основе OPEN-SOURCE инструментовРеализация тестового фреймворка на основе OPEN-SOURCE инструментов
Реализация тестового фреймворка на основе OPEN-SOURCE инструментов
 
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
 
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной командыМаргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
Алексей Баранцев -- Какое дело тестировщикам до исходного кода?
 
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
Модели в профессиональной инженерии и тестировании программ. Александр Петрен...
 
Building Open Source Test Automation Frameworks. Watir based automation case ...
Building Open Source Test Automation Frameworks. Watir based automation case ...Building Open Source Test Automation Frameworks. Watir based automation case ...
Building Open Source Test Automation Frameworks. Watir based automation case ...
 
Vladimir Itsykson. CSEDays
Vladimir Itsykson. CSEDaysVladimir Itsykson. CSEDays
Vladimir Itsykson. CSEDays
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Поиск уязвимостей в программах с помощью анализаторов кода
Поиск уязвимостей в программах с помощью анализаторов кодаПоиск уязвимостей в программах с помощью анализаторов кода
Поиск уязвимостей в программах с помощью анализаторов кода
 
Презентация компании БМС Софт
Презентация компании БМС СофтПрезентация компании БМС Софт
Презентация компании БМС Софт
 
метод организации репозитория исходного кода
метод организации репозитория исходного кодаметод организации репозитория исходного кода
метод организации репозитория исходного кода
 
АНТОН СЕРПУТЬКО «Start performance testing from scratch» QADay 2019
АНТОН СЕРПУТЬКО «Start performance testing from scratch» QADay 2019АНТОН СЕРПУТЬКО «Start performance testing from scratch» QADay 2019
АНТОН СЕРПУТЬКО «Start performance testing from scratch» QADay 2019
 
2017 ВКФ Храбров И. С.
2017 ВКФ Храбров И. С.2017 ВКФ Храбров И. С.
2017 ВКФ Храбров И. С.
 
Обзор научно-исследовательских работ
Обзор научно-исследовательских работОбзор научно-исследовательских работ
Обзор научно-исследовательских работ
 

More from RISSPA_SPb

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA_SPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleRISSPA_SPb
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямRISSPA_SPb
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рискамиRISSPA_SPb
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииRISSPA_SPb
 

More from RISSPA_SPb (9)

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиям
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рисками
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
 
RISSPA SPb
RISSPA SPbRISSPA SPb
RISSPA SPb
 

Заблуждения и стереотипы относительно анализа кода

  • 1. ЗАБЛУЖДЕНИЯ И СТЕРЕОТИПЫ ОТНОСИТЕЛЬНО А Н А Л И З А К ОД А Е в г е н и й Род ы г и н
  • 2. Основные методы обеспечения безопасного применения ПО • • • • • • формирование и контроль выполнения требований по безопасному проектированию, реализации и использованию программного обеспечения на всех этапах его жизненного цикла анализ среды функционирования ПО, направленный на выявление характеристик, которые считаются опасными или потенциально опасными анализ программного обеспечения, направленный на выявление функциональных возможностей и характеристик, которые считаются опасными или потенциально опасными использование методов и средств, направленных на обеспечение устойчивости среды функционирования от негативного воздействия ПО контроль среды функционирования ПО (динамический контроль поведения, изменения характеристик и т.п.) в процессе функционирования ИС контроль программного обеспечения в процессе его функционирования
  • 4. Основные методы наполнения политик SAST Анализ угроз Актуальные угрозы для информационной системы Стандарты и опыт Интерпретация угроз Политики безопасности Политики качества Стандарты Языка SAST Отчеты Стандарты и опыт
  • 9. Реализация постановщика задачи Язык реализации Объем исходных текстов (байт) Объем программы (байт) Количество функций в исходных текстах Количество функций в программе Количество команд ветвления в исходных текстах Количество команд ветвления в программе (jmp, call и т.п.) Turbo С 16 bit 5021 14510 8 95 10 468 Реализация конкурсантов (степень избыточности загрузочного кода очень мала) Разработчик «Altair / ODDS» Язык реализации tasm Объем исходных текстов (байт) 2998 Объем программы (байт) 48 Количество функций в исходных текстах 3 Количество функций в программе 3 Количество команд ветвления в исходных текстах 2 Количество команд ветвления в программе (jmp, call и т.п.) 2 Выявленная таким образом избыточность устранена: (в разах) По объему исходных текстов 1,7 По объему программы 302,3 По количеству функций в исходных текстах 2,7 По количеству функций в программе 31,7 По количеству команд ветвления в исходных текстах 5,0 По количеству команд ветвления в программе 234,0
  • 10. Уровни абстракции Уровень замысла (ТЗ) Уровень архитектуры (алгоритмы) Уровень реализации архитектуры (алгоритмов) Уровень среды разработки (VC) Уровень компилятора Уровень линковщика Уровень кода Физический уровень
  • 13. Механизм прогнозирования состояния ИС DAST Окно анализа Текущее состояние ИС
  • 14. Уровни абстракции Уровень замысла (ТЗ) Уровень архитектуры (алгоритмы) Уровень реализации архитектуры (алгоритмов) Уровень среды разработки (VC) Уровень компилятора Уровень линковщика Уровень кода (с учетом состояния среды) Физический уровень
  • 15. Родыгин Евгений Валентинович +7 (981) 701-45-07 e.v.rodigin@mstandard.ru www.mstandard.ru