Наши успехи в статическом и динамическом анализе (Trophy Cases)

Статический анализ и фаззинг-тестирование выполняются в парадигме Центра исследования безопасности системного ПО ФСТЭК России и ИСП РАН, все результаты публикуются на ресурсах Центра .

Подтвержденные уязвимости

2024

Статический анализ

2024

  • Обработано более 2000 сработок статического анализатора Svace
  • 24 рекомендации по улучшению и исправлению дефектов кода для компонентов Apache Directory LDAP API, nss-pam-ldapd, dotnet, activemq-artemis, ApacheDS, libsocket, linux-pam, Kubernetes, Qemu, Gnutls - принято в основную ветку разработки исследуемых компонентов

2023

  • 15 рекомендаций по улучшению и исправлению дефектов кода для компонентов: libvirt, systemd, fwupd, php, util-linux, cups-filters, dotnet, nodejs, python - принято в основную ветку разработки исследуемых компонентов
  • Обработано более 1600 сработок статического анализатора
  • 40 рекомендаций по улучшению и исправлению дефектов кода было принято в основную ветку разработки исследуемых приложений

Фаззинг-тестирование

2024

  • Зарегистрированы (совместно с БазальтСПО): CVE-2024-1441, CVE-2024-2494
  • Разработано 42 фаззинг-теста
  • Обнаружено 11 дефектов кода

2024

  • Обработано более 2000 сработок статического анализатора Svace
  • 24 рекомендации по улучшению и исправлению дефектов кода для компонентов Apache Directory LDAP API, nss-pam-ldapd, dotnet, activemq-artemis, ApacheDS, libsocket, linux-pam, Kubernetes, Qemu, Gnutls принято в основную ветку разработки исследуемых компонентов

2023

  • 15 рекомендаций по улучшению и исправлению дефектов кода для компонентов: libvirt, systemd, fwupd, php, util-linux, cups-filters, dotnet, nodejs, python - принято в основную ветку разработки исследуемых компонентов
  • Обработано более 1600 сработок статического анализатора
  • 40 рекомендаций по улучшению и исправлению дефектов кода было принято в основную ветку разработки исследуемых приложений
  • Зарегистрированы (совместно с БазальтСПО): CVE-2024-1441, CVE-2024-2494
  • Разработано 42 фаззинг-теста
  • Обнаружено 11 дефектов кода

Услуги по статическому и динамическому анализу программного обеспечения

Cтатический и динамический анализ программного обеспечения являются важнейшими, но достаточно ресурсоемкими практиками анализа исходных кодов и комплексированного ПО при внедрении и реализации процессов РБПО в компании и, в особенности, подготовке к сертификационным испытаниям. Некоторые практики анализа – в первую очередь фаззинг-тестирование – требуют не только временных затрат, но и наличия подготовленного коллектива, обладающего «набитой рукой» и «творческой жилкой». Значимость данных практик для ФСТЭК России постоянно повышается, о чем свидетельствуют:

  • создание и активное развитие Центра исследования безопасности системного ПО ФСТЭК России и ИСП РАН, отвечающего за формирование централизованных методик анализа ядра Линукс и критичных компонентов, проведение анализа, формирования патчей для выявленных ошибок и уязвимостей в апстрим
  • подготовка информационного письма ФСТЭК России (см. доклад "Основные направления совершенствования сертификации средств защиты информации") разработчикам-лицензиатам, испытательным лабораториям и органам по сертификации о необходимости взаимодействия с Центром в вопросах определения «широты» и качества анализа при подготовке, проведении сертификационных испытаний и осуществлении поддержки сертифицированных СЗИ
  • формирование вокруг центра обширного Сообщества энтузиастов в области РБПО, одним из ключевых участников которого является коллектив НТЦ Фобос-НТ

Важнейший принцип работы нашего коллектива – не требуй от других того, что не умеешь сам. Наши компетенции подтверждаются:

  1. Сотрудники ООО НТЦ «Фобос-НТ» являются преподавателями на курсах учебного центра ФАУ ГНИИИ ПТЗИ ФСТЭК Росси (г. Воронеж) по статическому и динамическому архитектурному анализу, проводимых на базе ИСП РАН России.
  2. Сотрудники ООО НТЦ «Фобос-НТ» являются преподавателями в МГТУ им. Баумана на кафедре ИУ10, обучая студентов основам процессов сертификации и безопасной разработки.
  3. Сотрудники ООО НТЦ «Фобос-НТ» ведут межкурсовую научно-практическую секцию по РБПО в МГТУ им. Баумана на кафедре ИУ10.
  4. Сотрудники ООО НТЦ «Фобос-НТ» активно участвуем в рабочих группах Центра исследования безопасности системного ПО ФСТЭК России и ИСП РАН по анализу программных компонентов с открытым исходным кодом, в том числе Python, Nodejs, ActiveMQ, libvirt.

Состав, перечень, формат услуг по статическому и динамическому анализу программного обеспечения, их ориентировочную стоимость и другие интересующие вас вопросы, можно уточнить, написав Хрыкову Сергею Владимировичу и Пономареву Дмитрию Владимировичу.

Отзывы о работе с нами

Отзыв от ИСП РАН

Арутюн Ишханович Аветисян

Академик РАН, Директор Института системного программирования РАН

Давно работаем с коллегами из «Фобос-НТ». Они умеют выстраивать все РБПО-процессы на нужном технологическом уровне и обладают колоссальным практическим опытом. Для нас очень полезны обратные связи от «Фобоса» по нашим инструментам и работе с нормативными документами. Внимательно выслушиваем…

Прочитать полностью...

Отзыв от компании Базальт СПО

Трандин Сергей

Генеральный директор "Базальт СПО"

«Базальт СПО» сотрудничает с НТЦ «Фобос-НТ» более 3 лет. За это время лаборатория показала себя как надежный партнер в области защиты конфиденциальной информации. «Фобос-НТ» активно продвигает методы безопасной разработки, что созвучно с принципиальной позицией «Базальт СПО». Благодаря продуктивному…

Прочитать полностью...

Отзыв от компании Postgres Professional

Панченко Иван

Заместитель генерального директора и сооснователь Postgres Professional

Фобос-НТ — признанные эксперты и активные проводники SDL в России. За годы сотрудничества они помогли нам внедрить методы безопасной разработки и сопровождают процесс сертификации при выпуске обновлений СУБД Postgres Pro. Требовательные, и в то же время всегда готовы помочь советом или дополнительными…

Прочитать полностью...

Отзыв от компании БЕЛЛСОФТ

Карпов Роман Дмитриевич

Директор по стратегии и развитию технологий Axiom JDK

Для нас, профессиональных разработчиков OpenJDK, несмотря на промышленный процесс производства ПО включая практики безопасной разработки, выбор партнера по сертификации ФСТЭК был очень трепетный. На тот момент для нас это был новый рынок о котором мы ничего не знали. Учитывая мой колоссальный опыт в…

Прочитать полностью...

Отзыв от компании Гарда Технологии

Пономарев Владимир

Заместитель генерального директора ООО «Гарда Технологии»

С лабораторией мы сотрудничаем уже много лет, и коллеги всегда показывали себя с самой лучшей стороны – и как профессионалы, и в плане чисто человеческого общения.  Оглядываясь назад, могу с уверенностью сказать, что объем полученных нами знаний и опыта сильно превосходит формальные требования контрактных обязательств,…

Прочитать полностью...

Отзыв от компании Аладдин

Бауткин Антон

Компания Аладдин. Руководитель отдела обеспечения безопасной разработки.

Успешные завершенные проекты сертификации решений Аладдин на соответствие требованиям ФСТЭК – лучшее доказательство профессионализма и глубокой экспертизы испытательной лаборатории Фобос-НТ. В подобных проектах разработчику решений невозможно обойтись без оперативной, грамотной работы и поддержки…

Прочитать полностью...

Отзыв от ООО «НПЦ «КСБ»

Сергеев Сергей Николаевич

Генеральный директор ООО «НПЦ «КСБ»

НТЦ «Фобос-НТ» - надежный партнер! Коллеги умеют грамотно подойти к делу, что обеспечивает необходимый уровень профессионализма, и, что немаловажно постоянно вкладываются в собственное образование, освоение и развитие передовых практик и инструментов ApplicationSecurity. Часто совместно работаем…

Прочитать полностью...

Отзыв от компании Айдеко

Коренберг Марк

СТО ООО "Айдеко"

Единственная лаборатория, в которой специалисты действительно могут сказать что именно нужно делать: разъяснить что означают требования, какую документация как нужно писать, предлагают инструменты и др. В общем — чувствуется помощь и поддержка. Смотрят вглубь продукта, задают неудобные вопросы,…

Прочитать полностью...

Отзыв от компании BI.ZONE

Меджлумов Муслим Асфендерович

Директор по продуктам и технологиям BI.ZONE

Мы выражаем благодарность компании Фобос-НТ за помощь с проектом по сертификации продукта BI.ZONE WAF. Для нашей компании это был первый опыт сертификации продуктов в системе ФСТЭК. Поэтому нам было важно не только решить задачу по сертификации отдельного решения, но и выстроить этот процесс…

Прочитать полностью...

Отзыв от компании

Смирнов Алексей Алексеевич

Генеральный директор ООО «Профископ»

Наша команда сотрудничает с Фобос-НТ относительно недавно, и мы уже на 100% убедились, что это компания с адекватным упором на экспертизу и технологии, с адекватным восприятием нормативной базы. Совместно ведем работу по разработке стандартов безопасной разработки в ТК 362 ФСТЭК России и проходим…

Прочитать полностью...

Отзыв от МГТУ им. Баумана

Сычев Михаил Павлович

Первый заместитель заведующего кафедрой ИУ10 «Защита информации» МГТУ им. Н.Э. Баумана

МГТУ им. Н.Э. Баумана в лице кафедры ИУ10 «Защита информации» имеет пока еще непродолжительный, но при этом крайне положительный опыт работы с испытательной лабораторией «Фобос-НТ», выражает сердечную благодарность руководству и коллективу «Фобос-НТ» за безупречный подход и всестороннюю поддержку…

Прочитать полностью...

Отзыв от ООО

Мартиросов Давид

Генеральный директор ООО "Базис"

Команда БАЗИСа начала сотрудничество с НТЦ "Фобос-НТ" в 2023 году и я уже сейчас могу заявить, что это настоящие профессионалы своего дела. Успешное обновление сертификата ФСТЭК в сжатые сроки с проведением всех необходимых исследований и с качественной проверкой защиты информации стало результатом…

Прочитать полностью...

Последние новости

Информационное письмо ФСТЭК России
25/09/2024

Информационное письмо ФСТЭК России

В адрес лабораторий и разработчиков поступило информационное письмо ФСТЭК России об изменении порядка исследования критичных компонентов с открытым исходным кодом при проведении испытаний.

Ecumene 2024: Участие Фобос-НТ
17/09/2024

Ecumene 2024: Участие Фобос-НТ

17 сентября прошел Глобальный форум Ecumene 2024, одной из тем которого была «Информационная безопасность».