Статический анализ кода согласно руководящем документу ФСТЭК

Защита от несанкционированного доступа к информации
Часть 1.
Программное обеспечение средств защиты информации Классификация по уровню контроля отсутствия недекларированных возможностей

Полный текст документа

На самом деле статический анализ кода это далеко не только проверка синтаксиса, границ массивов и переполнения буфера. Такой аудит исходных кодов представляет собой лишь малую часть общего, комплексного и документально заверенного ФСТЭК (ранее Государственная техническая комиссия), статического анализа. В этой небольшой статье я попытаюсь кратко описать требования руководящего документа и его «видение» статического анализа, порассуждаю об использовании автоматизированных средств, способных выполнить пункты документа.

Что есть статический анализ на самом деле

Будучи еще Государственной технической комиссией при Президенте Российской Федерации наш горячо любимый ФСТЭК утвердил выше упомянутый руководящий документ, призванный разъяснить разработчикам и комиссии каким именно образом стоить проводить сертификацию программного обеспечения. Зачем нужна эта сертификация? На самом деле это очень полезная штука, говорящая громко и четко «Данное ПО безопасно, не содержит бекдоров и различных закладок и может смело использоваться для обработки конфиденциальной информации, даже на правительственном уровне». Звучит неплохо, правда? Открывает многие недоступные несертифицированным программным продуктам двери. Можно инсталлироваться в школах, больницах, госдуме…

читать далее «Статический анализ кода согласно руководящем документу ФСТЭК»