forum.opennet.ru

Составление сообщения

Исходное сообщение

"Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."
Отправлено Andrey_Karpov, 09-Май-17 16:16

> объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей
> в коде "возможно приводящих к потенциальным уязвимостям"?
> это там какой то особо прокачаный libastral, или же есть какие то
> конкретные правила написания кода ?
Я понимаю это так. Инструмент находит ошибки. Для начала не важно какие. Важно потом классифицировать их. Считается, что некоторые ошибки могут эксплуатироваться. Так, Амит Йоран (начальник отдела национальной кибербезопасности США) считает, что около 95% всех дефектов программ, относящихся к безопасности, проистекает из 19 типичных ошибок (переполнение буфера, переполнение целых чисел, пренебрежение обработкой ошибок и т.д.).
В общем, ошибки, которые как считается, могут привести к уязвимостям, классифицированы в CWE: https://cwe.mitre.org/
Если вы находите ошибку, которая классифицируется согласно CWE, то значит вы нашли потенциальную уязвимость. Может эта ошибка стать настоящей уязвимостью (CVE - https://cve.mitre.org/) зависит от многих обстоятельств (везения).
Анализатор PVS-Studio кстати тоже находит многие ошибки, перечисленные в CWE: https://www.viva64.com/ru/b/0486/ Т.е. PVS-Studio позволяет выявлять и устранить многие потенциальные уязвимости и не стоит недооценивать эту возможность.

Исходное сообщение
"Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..." Отправлено Andrey_Karpov, 09-Май-17 16:16
> объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей > в коде "возможно приводящих к потенциальным уязвимостям"? > это там какой то особо прокачаный libastral, или же есть какие то > конкретные правила написания кода ? Я понимаю это так. Инструмент находит ошибки. Для начала не важно какие. Важно потом классифицировать их. Считается, что некоторые ошибки могут эксплуатироваться. Так, Амит Йоран (начальник отдела национальной кибербезопасности США) считает, что около 95% всех дефектов программ, относящихся к безопасности, проистекает из 19 типичных ошибок (переполнение буфера, переполнение целых чисел, пренебрежение обработкой ошибок и т.д.). В общем, ошибки, которые как считается, могут привести к уязвимостям, классифицированы в CWE: https://cwe.mitre.org/ Если вы находите ошибку, которая классифицируется согласно CWE, то значит вы нашли потенциальную уязвимость. Может эта ошибка стать настоящей уязвимостью (CVE - https://cve.mitre.org/) зависит от многих обстоятельств (везения). Анализатор PVS-Studio кстати тоже находит многие ошибки, перечисленные в CWE: https://www.viva64.com/ru/b/0486/ Т.е. PVS-Studio позволяет выявлять и устранить многие потенциальные уязвимости и не стоит недооценивать эту возможность.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру