Проверка программного кода
Услуга
АО «Технологии радиоконтроля» оказывает услуги по проверке программного кода (поиска недостатков, уязвимостей различного уровня)
Регулярно проводить анализ программного кода на предмет уязвимостей и недостатков требуется разработчикам программного обеспечения (ПО) любых отраслей: банковской, атомной, транспортной, промышленной и прочих, где необходима высокая надежность функционирования программного обеспечения.
Проверка ПО осуществляется на соответствие уровню доверия (в соответствии с Приказом ФСТЭК России № 131)
В рамках анализа программного кода проводится выявление уязвимостей и недокументированных возможностей (НДВ) с использованием экспертного, статического, динамического и ручного анализа кода.
Экспертный анализ – выявление уязвимостей и НДВ объекта оценки по результатам исследований документации и иных доступных информационных источников, результатов исследований, полученных другими исследователями, анализа архитектуры объекта оценки, а также проведения тестирования на проникновение.
Статический анализ – результат исследования программы (анализа кода) в режиме, не предусматривающем реального выполнения программного кода объекта оценки. В ходе статического анализа на основе программного кода осуществляется построение модели, для которой выполняются операции статического анализа.
Динамический анализ – выявление уязвимостей и НДВ по результатам исследований программы (анализа кода) в режиме непосредственного исполнения (функционирования) кода. В ходе выполнения программы осуществляется фиксация результатов её выполнения, в том числе записываются трассы выполнения программы, снимаются состояния памяти и регистров процессора, фиксируются выходные данные.
Ручной анализ – выявление уязвимостей и НДВ по результатам экспертизы исходного/восстановленного кода объекта оценки.
Почему это важно
Мы наблюдаем определенные закономерности, чем больше «возраст» у развиваемого программного продукта, тем больше программного кода не сопоставлено с современными угрозами.