Теория и практика безопасного программирования

Статистика атак на информационные системы в последние годы однозначно указывает на тенденцию увеличения количества взломов на прикладном уровне. Конечно, средства защиты активно эволюционируют, помогая предотвращать такие атаки за счет самообучения и анализа аномалий, но чем дальше, тем более понятно, что только внешними средствами защиты проблему не решить – необходимо менять подход разработчиков прикладных систем к обеспечению информационной безопасности уже на этапе разработки. Системы контроля защищенности приложений зародились практически одновременно с самим программированием и широко известны. Методики исследований не являются секретом, а набор инструментов – от простых бесплатных до дорогих профессиональных – можно найти на любой вкус и бюджет. Методики и инструменты Любой мало-мальски знакомый с исследованием защищенности приложений вспомнит основные инструменты таких проверок – статический анализ, динамический анализ, автоматизированные и ручные тесты на проникновение, экспертный анализ. Последний часто называют ручным анализом, но этот прижившийся термин не точно отражает суть исследования: во-первых, эксперт изучает код не руками, а глазами, во-вторых, если этот термин используется как антоним «автоматизированного анализа», то следует знать, что эксперт при анализе запускает множество различных сканеров. Рассмотрим каждый из методов более подробно и оценим их плюсы и минусы. Статический анализ Статический анализ имеет дело с исходным кодом приложения, исследуя программные конструкции, исполнение которых может быть небезопасным. Обычно используется […]


Полная версия доступна только зарегистрированным пользователям !








 

ИД «Connect» © 2015-2017

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика