:::::: № 3 май-июнь 2016 г. :::::: - « Журнал «Защита информации. Инсайд»

В статье описываются актуальные проблемы и вызовы сертификации программного обеспечения по требованиям безопасности информации на примере статического анализа безопасности исходных текстов, а также перспективы использования средств непрерывной интеграции при сертификации. В этом контексте рассмотрено новое направление, связанное с организацией процесса так называемой непрерывной сертификации средств защиты информации, касающегося как испытаний в рамках имеющихся систем сертификации, так и внутренней оценки соответствия. Предложена структура системы непрерывной сертификации, произведена оценка готовности использования в ней современных инструментальных средств проведения сертификационных испытаний программного обеспечения.

< ... >

Ключевые слова: безопасное программное обеспечение, непрерывная интеграция, сертификация, тестирование, недекларированные возможности, статический анализ, инструментальные средства

The topical certification issues and challenges in software security through the example of source code static analysis, and the prospects of the use of continuous integration tools are described in this paper. In view of this, the new direction, related to the organization of the process, known as «continuous certification» of information security products, regarding both testing within a framework of the current certification systems, and in-house compliance assessment, is considered. The structure of continuous certification system is proposed, the readiness of the use of contemporary certification tools in this structure is evaluated.

Keywords: secure software, continuous integration, certification, testing, undocumented features, static analysis, certification tools

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»