Наши успехи в статическом и динамическом анализе (Trophy Cases)
Статический анализ и фаззинг-тестирование выполняются в парадигме Центра исследования безопасности системного ПО ФСТЭК России и ИСП РАН, все результаты публикуются на ресурсах Центра .
Подтвержденные уязвимости
2024
- BDU:2024-04430 (Высокий уровень опасности)
- BDU:2024-04627 (Высокий уровень опасности)
Статический анализ
2024
- Обработано более 2000 сработок статического анализатора Svace
- 24 рекомендации по улучшению и исправлению дефектов кода для компонентов Apache Directory LDAP API, nss-pam-ldapd, dotnet, activemq-artemis, ApacheDS, libsocket, linux-pam, Kubernetes, Qemu, Gnutls - принято в основную ветку разработки исследуемых компонентов
2023
- 15 рекомендаций по улучшению и исправлению дефектов кода для компонентов: libvirt, systemd, fwupd, php, util-linux, cups-filters, dotnet, nodejs, python - принято в основную ветку разработки исследуемых компонентов
- Обработано более 1600 сработок статического анализатора
- 40 рекомендаций по улучшению и исправлению дефектов кода было принято в основную ветку разработки исследуемых приложений
Фаззинг-тестирование
2024
- Зарегистрированы (совместно с БазальтСПО): CVE-2024-1441, CVE-2024-2494
- Разработано 42 фаззинг-теста
- Обнаружено 11 дефектов кода
- BDU:2024-04430 (Высокий уровень опасности)
- BDU:2024-04627 (Высокий уровень опасности)
2024
- Обработано более 2000 сработок статического анализатора Svace
- 24 рекомендации по улучшению и исправлению дефектов кода для компонентов Apache Directory LDAP API, nss-pam-ldapd, dotnet, activemq-artemis, ApacheDS, libsocket, linux-pam, Kubernetes, Qemu, Gnutls принято в основную ветку разработки исследуемых компонентов
2023
- 15 рекомендаций по улучшению и исправлению дефектов кода для компонентов: libvirt, systemd, fwupd, php, util-linux, cups-filters, dotnet, nodejs, python - принято в основную ветку разработки исследуемых компонентов
- Обработано более 1600 сработок статического анализатора
- 40 рекомендаций по улучшению и исправлению дефектов кода было принято в основную ветку разработки исследуемых приложений
- Зарегистрированы (совместно с БазальтСПО): CVE-2024-1441, CVE-2024-2494
- Разработано 42 фаззинг-теста
- Обнаружено 11 дефектов кода
Услуги по статическому и динамическому анализу программного обеспечения
Cтатический и динамический анализ программного обеспечения являются важнейшими, но достаточно ресурсоемкими практиками анализа исходных кодов и комплексированного ПО при внедрении и реализации процессов РБПО в компании и, в особенности, подготовке к сертификационным испытаниям. Некоторые практики анализа – в первую очередь фаззинг-тестирование – требуют не только временных затрат, но и наличия подготовленного коллектива, обладающего «набитой рукой» и «творческой жилкой». Значимость данных практик для ФСТЭК России постоянно повышается, о чем свидетельствуют:
- создание и активное развитие Центра исследования безопасности системного ПО ФСТЭК России и ИСП РАН, отвечающего за формирование централизованных методик анализа ядра Линукс и критичных компонентов, проведение анализа, формирования патчей для выявленных ошибок и уязвимостей в апстрим
- подготовка информационного письма ФСТЭК России (см. доклад "Основные направления совершенствования сертификации средств защиты информации") разработчикам-лицензиатам, испытательным лабораториям и органам по сертификации о необходимости взаимодействия с Центром в вопросах определения «широты» и качества анализа при подготовке, проведении сертификационных испытаний и осуществлении поддержки сертифицированных СЗИ
- формирование вокруг центра обширного Сообщества энтузиастов в области РБПО, одним из ключевых участников которого является коллектив НТЦ Фобос-НТ
Важнейший принцип работы нашего коллектива – не требуй от других того, что не умеешь сам. Наши компетенции подтверждаются:
- Сотрудники ООО НТЦ «Фобос-НТ» являются преподавателями на курсах учебного центра ФАУ ГНИИИ ПТЗИ ФСТЭК Росси (г. Воронеж) по статическому и динамическому архитектурному анализу, проводимых на базе ИСП РАН России.
- Сотрудники ООО НТЦ «Фобос-НТ» являются преподавателями в МГТУ им. Баумана на кафедре ИУ10, обучая студентов основам процессов сертификации и безопасной разработки.
- Сотрудники ООО НТЦ «Фобос-НТ» ведут межкурсовую научно-практическую секцию по РБПО в МГТУ им. Баумана на кафедре ИУ10.
- Сотрудники ООО НТЦ «Фобос-НТ» активно участвуем в рабочих группах Центра исследования безопасности системного ПО ФСТЭК России и ИСП РАН по анализу программных компонентов с открытым исходным кодом, в том числе Python, Nodejs, ActiveMQ, libvirt.
Состав, перечень, формат услуг по статическому и динамическому анализу программного обеспечения, их ориентировочную стоимость и другие интересующие вас вопросы, можно уточнить, написав Хрыкову Сергею Владимировичу и Пономареву Дмитрию Владимировичу.