Главная » Блоги Экспертов И ИТ-Компаний » Статический анализатор исходных текстов AppChecker теперь обнаруживает 100 типов дефектов программного обеспечения!

Статический анализатор исходных текстов AppChecker теперь обнаруживает 100 типов дефектов программного обеспечения!

Как известно, на безопасность современных информационных систем очень сильно влияет качество программного кода программного обеспечения, используемого при их построении.

К сожалению, даже самые крупные мировые разработчики программного обеспечения регулярно допускают появление уязвимостей в своих  продуктах. Наличие недочетов и уязвимостей в исходном коде приложений создает финансовые и репутационные риски для компании-разработчика, а также может привести к рискам нарушения целостности, доступности и конфиденциальности данных пользователей. Ключевым способом повышения качества исходного кода и снижения затрат на исправление ошибок является автоматическое выявление дефектов кода. Для решения данной задачи НПО «Эшелон» был разработан  статический анализатор исходных текстов AppChecker.

В настоящее время решение позволяет обнаруживать 100 типов дефектов программного кода, написанного на языках программирования C/C++, Java, PHP. AppChecker может использоваться как самими разработчиками программного обеспечения, так и специалистами по информационной безопасности, отвечающими за контроль безопасности кода, разрабатываемого аутсорсинговой компанией. Также решение представляет интерес для испытательных лабораторий, проводящих анализ кода в рамках сертификационных испытаний.

AppChecker использует несколько модулей анализа кода, в том числе сигнатурно-эвристический метод анализа, а также анализ потоков данных. Сигнатурный подход можно назвать «поиском по шаблонам». Данный подход заключается в том, что фрагмент исходного текста сравнивается с некоторым образцом, находящимся в базе дефектов. Подход поиска по шаблонам используется в анализаторах уже достаточно длительное время, поэтому его сильные и слабые стороны хорошо известны специалистам. К достоинствам можно отнести простоту реализации, простоту составления шаблонов и высокую скорость работы. К недостатку подхода стоит отнести высокое количество ложных срабатываний. Появление новых подходов к анализу кода, во многом направленных на устранение этого недостатка, не снизили роль поиска по шаблонам, т.к. он является идеальным по соотношению скорость/качество средством поиска некоторых дефектов. Наряду с поиском по шаблонам, AppChecker использует и другие модули анализа, позволяющие уменьшить количество ложных срабатываний и увеличить количество обнаруживаемых дефектов, как например анализ потоков данных (data flow), который позволяет строить граф потока данных на основе графа вызовов и графа потоков управления, что в свою очередь позволяет отслеживать перемещение данных как в локальных, так и в глобальных блоках программы.

AppChecker поддерживает международную классификацию дефектов CWE. База сигнатур дефектов постоянно пополняется и формируется с учетом различных стандартов и рекомендаций по безопасному программированию от OWASP, CERT, NIST и др.

Решение реализовано по  технологии «тонкий клиент» (с использованием web интерфейса), что позволяет проводить  аудит кода нескольким экспертам.

Как уже было отмечено ранее, AppChecker позволяет  анализировать код, написанный на C/C++, Java и PHP. Важным преимуществом продукта является тот факт, что гибкая конфигурация анализируемых проектов позволяет учитывать влияние таких особенностей языков программирования, как например директивы прекомпиляции в C/C++.

Более подробно познакомиться с решением можно, обратившись с запросом по адресу электронной почты sales@npo-echelon.ru. Для тестирования предоставляется демо-версия комплекса.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
4 года назад
Комментарии
Другие публикации
RU, Москва
---

Комплексные решения в области информационной безопасности: сертификации по требованиям безопасности информации (ФСТЭК России, Минобороны России, добровольные системы); аттестация объектов информатизации; разработка, производство, внедрение, тестирование, реализация, сопровождение средств защиты информации (СЗИ); разработка и экспертиза концепций, политик безопасности, профилей защиты, заданий по безопасности; создание изделий в защищенном исполнении; проведение спецэкспертиз, лицензирование, расследование инцидентов; бизнес-разведка; анализ защищенности, аудит и национальная сертификация систем управления (менеджмента) информационной безопасностью (СУИБ); аудит безопасности программного кода, тестирование программного обеспечения; проведение тренингов и семинаров по защите информации; защита персональных данных.

Адрес: 107023 Россия, Москва, ул.Электрозаводская, 24., Тел.: +7 (495) 223-23-92, Факс: +7 (495) 645-38-11

Контактное лицо: Марков А.С., президент ГК НПО "Эшелон"




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>