Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Программные системы и вычислительные методы
Правильная ссылка на статью:

Миронов С.В., Куликов Г.В. Анализ потенциальных возможностей методов тестирования программного обеспечения без использования исходных текстов

Аннотация: В статье рассмотрено сложившееся противоречие между природой реальных уязвимостей программного кода, ограничениями нормативно-методической базой испытаний по требованиям безопасности программного обеспечения и желанием разработчиков не предоставлять исходные тексты программ. Методы анализа программных продуктов, которые не требуют наличия исходных текстов программ, широко применяются за рубежом, а в нашей стране еще не получили широкого распространения. Исследуется вопрос: могут ли такие методы и средства повысить эффективность сертификационных испытаний программного обеспечения, а также определить необходимые изменения в нормативных документах, открывающие возможности применения методов тестирования программ без исходных кодов при сертификационных испытаний. Методы исследования: программная инженерия, анализ сложных систем, теория надежности сложных систем, синтез программного обеспечения, компиляция программного обеспечения. В результате исследования показано, что использование методов тестирования без исходных текстов позволяет находить распространенные уязвимости в программном обеспечении, которые эффективно не выявляются из-за ограничений нормативной базы на наличие исходных текстов; накопленный опыт сертификационных испытаний на отсутствие недекларированных возможностей и программных закладок, а также независимого тестирования программных продуктов позволяет определить приоритетные направления совершенствования нормативной базы, основанной на применении методов тестирования программ без исходных текстов.


Ключевые слова:

уязвимость программного обеспечения, сертификация программного обеспечения, тестирование программного обеспечения, выявление программных закладок, выявление недекларированных возможностей, безопасность программного обеспечения, оценивание защищенности информации, выявление уязвимостей программ, сигнатурный анализ, тестирование программ

Abstract: The article considers the prevailing contradictions between the nature of the vulnerabilities in source code, safety requirements limitations of regulatory and methodological basis of tests and software developers who do not provide the source code for testing purposes. Methods of software products analysis that do not require the source code of programs, are widely used abroad but in our country are not well known yet. The article investigates the question can such methods and means increase the effectiveness of certification testing of software. The authors determine the necessary changes in the regulations to open up the possibility of applying the methods of testing programs without source code in the certification tests. Methods used in the study: software engineering, analysis of complex systems, the theory of reliability of complex systems, the synthesis software, compiling software. The paper shows that the use of methods for testing without source code allows to find such common vulnerabilities in the software that can’t be effectively detected because of the regulatory restrictions for the presence of source code. The experience of certification tests on the absence of undeclared features and program bookmarks, as well as independent software testing allows to determine the priority areas for improvement of the regulatory, based on the application of the methods of testing software without source code.


Keywords:

evaluation of data protection, software security, detection of undeclared features, detection of software bookmarks, software testing, software certification, software vulnerability, identification of vulnerable programs, signature analysis, testing programs


Эта статья может быть бесплатно загружена в формате PDF для чтения. Обращаем ваше внимание на необходимость соблюдения авторских прав, указания библиографической ссылки на статью при цитировании.

Скачать статью

Библиография
1. Голосовский М.С. Модель жизненного цикла разработки программного обеспечения в рамках научно-исследовательских работ//Автоматизация и современные технологии. 2014. № 1. С. 43-46.
2. Марков А.С., Миронов С.В., Цирлов В.Л. Опыт тестирования сетевых сканеров уязвимостей // Информационное противодействие угрозам терроризма. 2005. № 5. С. 109-122.
3. Нащёкин П.А., Непомнящих А.В., Соснин Ю.В., Куликов Г.В. Критерии и методы проверки выполнения требований по защищенности автоматизированной системы при изменении настроек или выделенных ресурсов средств защиты информации // Вопросы защиты информации. 2013. № 4 (102). С. 50-53.
4. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности АС и ИВС / Под ред. И.В.Котенко. СПб: ВУС, 2000. 190 с.
5. Марков А.С., Миронов С.В., Цирлов В.Л. Выявление уязвимостей программного обеспечения в процессе сертификации // Информационное противодействие угрозам терроризма. 2006. № 7. С. 177-186.
6. Богомолов А.В., Чуйков Д.С., Запорожский Ю.А. Средства обеспечения безопасности информации в современных автоматизированных системах//Информационные технологии. 2003. № 1. С.2-8.
7. Непомнящих А.В., Куликов Г.В., Соснин Ю.В., Нащёкин П.А. Методы оценивания защищенности информации в автоматизированных системах от несанкционированного доступа // Вопросы защиты информации. 2014. № 1 (104). С. 3-12.
8. Руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» 1999. 122 с.
9. Фёдоров М.В., Калинин К.М., Богомолов А.В., Стецюк А.Н. Математическая модель автоматизированного контроля выполнения мероприятий в органах военного управления // Информационно-измерительные и управляющие системы. 2011. Т. 9. № 5. С. 46-54.
10. Соснин Ю.В., Куликов Г.В., Непомнящих А.В. Комплекс математических моделей оптимизации конфигурации средств защиты информации от несанкционированного доступа // Программные системы и вычислительные методы. 2015. № 1. С. 32-44.
11. Марков А.С., Миронов С.В., Цирлов В.Л.. Выявление уязвимостей в программном коде // Открытые системы, №12, 2005. С.64-69.
12. Марков А.С., Миронов С.В., Цирлов В.Л. Разработка политики безопасности организации в свете новейшей нормативной базы // Защита информации. Конфидент. 2004. № 2. С. 20.
13. Ховард М., ЛеБланк Д., Виера Д. 19 смертных грехов, угрожающих безопасности программ: как недопустить типичных ошибок. М.: Издательский Дом «ДМК-пресс», 2006. 442 с.
14. Майерс Г. Искусство тестирования программ. М.: Финансы и статистика, 1982. 162 с.
15. Лакутин А. Аутсорсинг тестирования программного обеспечения. М.: КИС, 2002. 412 с.
16. Голосовский М.С. Информационно-логическая модель процесса разработки программного обеспечения // Программные системы и вычислительные методы. 2015. № 1. С. 59-68.
17. Standard for Software Unit Testing. ANSI/IEEE Std 1008-1987. 31 р.
18. Котляров В.П., Коликова Т.В. Основы тестирования программного обеспечения. М.: Интернет-университет информационных технологий, 2006. 285 с.
19. Козлов В.Е., Богомолов А.В., Рудаков С.В., Оленченко В.Т. Математическое обеспечение обработки рейтинговой информации в задачах экспертного оценивания//Мир измерений. 2012. № 9. С. 42-49.
20. Кукушкин Ю.А., Богомолов А.В., Ушаков И.Б. Математическое обеспечение оценивания состояния материальных систем//Информационные технологии. 2004. Приложение к № 7. 24 с.
21. Бейзер Б. Тестирование черного ящика: технологии функционального тестирования программного обеспечения систем. СПб.: Питер, 2004. 236 с
References
1. Golosovskii M.S. Model' zhiznennogo tsikla razrabotki programmnogo obespecheniya v ramkakh nauchno-issledovatel'skikh rabot//Avtomatizatsiya i sovremennye tekhnologii. 2014. № 1. S. 43-46.
2. Markov A.S., Mironov S.V., Tsirlov V.L. Opyt testirovaniya setevykh skanerov uyazvimostei // Informatsionnoe protivodeistvie ugrozam terrorizma. 2005. № 5. S. 109-122.
3. Nashchekin P.A., Nepomnyashchikh A.V., Sosnin Yu.V., Kulikov G.V. Kriterii i metody proverki vypolneniya trebovanii po zashchishchennosti avtomatizirovannoi sistemy pri izmenenii nastroek ili vydelennykh resursov sredstv zashchity informatsii // Voprosy zashchity informatsii. 2013. № 4 (102). S. 50-53.
4. Zakonodatel'no-pravovoe i organizatsionno-tekhnicheskoe obespechenie informatsionnoi bezopasnosti AS i IVS / Pod red. I.V.Kotenko. SPb: VUS, 2000. 190 s.
5. Markov A.S., Mironov S.V., Tsirlov V.L. Vyyavlenie uyazvimostei programmnogo obespecheniya v protsesse sertifikatsii // Informatsionnoe protivodeistvie ugrozam terrorizma. 2006. № 7. S. 177-186.
6. Bogomolov A.V., Chuikov D.S., Zaporozhskii Yu.A. Sredstva obespecheniya bezopasnosti informatsii v sovremennykh avtomatizirovannykh sistemakh//Informatsionnye tekhnologii. 2003. № 1. S.2-8.
7. Nepomnyashchikh A.V., Kulikov G.V., Sosnin Yu.V., Nashchekin P.A. Metody otsenivaniya zashchishchennosti informatsii v avtomatizirovannykh sistemakh ot nesanktsionirovannogo dostupa // Voprosy zashchity informatsii. 2014. № 1 (104). S. 3-12.
8. Rukovodyashchii dokument Gostekhkomissii Rossii «Zashchita ot nesanktsionirovannogo dostupa k informatsii. Chast' 1. Programmnoe obespechenie sredstv zashchity informatsii. Klassifikatsiya po urovnyu kontrolya otsutstviya nedeklarirovannykh vozmozhnostei» 1999. 122 s.
9. Fedorov M.V., Kalinin K.M., Bogomolov A.V., Stetsyuk A.N. Matematicheskaya model' avtomatizirovannogo kontrolya vypolneniya meropriyatii v organakh voennogo upravleniya // Informatsionno-izmeritel'nye i upravlyayushchie sistemy. 2011. T. 9. № 5. S. 46-54.
10. Sosnin Yu.V., Kulikov G.V., Nepomnyashchikh A.V. Kompleks matematicheskikh modelei optimizatsii konfiguratsii sredstv zashchity informatsii ot nesanktsionirovannogo dostupa // Programmnye sistemy i vychislitel'nye metody. 2015. № 1. S. 32-44.
11. Markov A.S., Mironov S.V., Tsirlov V.L.. Vyyavlenie uyazvimostei v programmnom kode // Otkrytye sistemy, №12, 2005. S.64-69.
12. Markov A.S., Mironov S.V., Tsirlov V.L. Razrabotka politiki bezopasnosti organizatsii v svete noveishei normativnoi bazy // Zashchita informatsii. Konfident. 2004. № 2. S. 20.
13. Khovard M., LeBlank D., Viera D. 19 smertnykh grekhov, ugrozhayushchikh bezopasnosti programm: kak nedopustit' tipichnykh oshibok. M.: Izdatel'skii Dom «DMK-press», 2006. 442 s.
14. Maiers G. Iskusstvo testirovaniya programm. M.: Finansy i statistika, 1982. 162 s.
15. Lakutin A. Autsorsing testirovaniya programmnogo obespecheniya. M.: KIS, 2002. 412 s.
16. Golosovskii M.S. Informatsionno-logicheskaya model' protsessa razrabotki programmnogo obespecheniya // Programmnye sistemy i vychislitel'nye metody. 2015. № 1. S. 59-68.
17. Standard for Software Unit Testing. ANSI/IEEE Std 1008-1987. 31 r.
18. Kotlyarov V.P., Kolikova T.V. Osnovy testirovaniya programmnogo obespecheniya. M.: Internet-universitet informatsionnykh tekhnologii, 2006. 285 s.
19. Kozlov V.E., Bogomolov A.V., Rudakov S.V., Olenchenko V.T. Matematicheskoe obespechenie obrabotki reitingovoi informatsii v zadachakh ekspertnogo otsenivaniya//Mir izmerenii. 2012. № 9. S. 42-49.
20. Kukushkin Yu.A., Bogomolov A.V., Ushakov I.B. Matematicheskoe obespechenie otsenivaniya sostoyaniya material'nykh sistem//Informatsionnye tekhnologii. 2004. Prilozhenie k № 7. 24 s.
21. Beizer B. Testirovanie chernogo yashchika: tekhnologii funktsional'nogo testirovaniya programmnogo obespecheniya sistem. SPb.: Piter, 2004. 236 s