:::::: № 6 ноябрь-декабрь 2019 г. :::::: - « Журнал «Защита информации. Инсайд»

		№ 6 ноябрь–декабрь 2019 г. Тема номера: СОВРЕМЕННЫЕ ВЫЗОВЫ И УГРОЗЫ В ИНФОРМАЦИОННОЙ СФЕРЕ
		Антропоморфический подход к описанию взаимодействия уязвимостей в программном коде. Часть 2. Метрика уязвимостей Anthropomorphic Approach to Description of the Vulnerabilities Interaction in Program Code. Pt. 2. Metric of Vulnerabilities Михаил Викторович Буйневич, доктор технических наук, профессор Санкт-Петербургский университет государственной противопожарной службы МЧС России Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича M. V. Buynevich, PhD (Eng., Grand Doctor), Full Professor Saint-Petersburg University of State Fire Service of EMERCOM of Russia The Bonch-Bruevich Saint-Petersburg State University of Telecommunications bmv1958@yandex.ru Константин Евгеньевич Израилов, кандидат технических наук Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича K. E. Izrailov, PhD (Eng.) The Bonch-Bruevich Saint-Petersburg State University of Telecommunications konstantin.izrailov@mail.ru

В статье предложено применение подхода антропоморфизма к области безопасности программного кода. Во второй части выбран Топ-8 уязвимостей standalone-программы и составлена сводная таблица взаимодействия этих уязвимостей. Введена метрика уязвимостей программного кода, соответствующая величине эффекта от использования того или иного типа уязвимости, а также корректировочный член, учитывающий взаимодействие этих уязвимостей. Приведен пример расчета метрики уязвимостей из Топ-8 для гипотетической программы, реализующей механизм получения конфиденциальной информации из внутренней базы данных с использованием механизмов идентификации и аутентификации. По полученным расчетам сделаны выводы касательно возможных уязвимостей в такой программе. Обоснована оправданность применения антропоморфического подхода для описания взаимодействия уязвимостей в программном коде.

< ... >

Ключевые слова: программное обеспечение, жизненный цикл, информационная безопасность, уязвимость, эволюция уязвимостей, оценка безопасности кода, метрика уязвимости, эффекты взаимодействия, антропоморфизм

In part 2 the Top-8 vulnerabilities of the standalone program are selected. A metric of software code vulnerabilities was introduced, corresponding to the magnitude of the effect from the use of a particular type of vulnerability, as well as a correction term that takes into account the interaction of these vulnerabilities. An example of calculating the vulnerability metrics from the Top-8 for a hypothetical program that implements the mechanism for obtaining confidential information from the internal database using the identification and authentication mechanisms is given.

Keywords: software, life cycle, evolution of vulnerabilities, code security assessment, vulnerability metrics, interaction effects, anthropomorphism

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья