Приложениями (программным обеспечением, ПО)ежедневно пользуются миллионы человек по всему миру, поэтому особенно актуальным становится вопрос обеспечения их безопасности.
Безопасность приложений – это целый комплекс мер, направленных на защиту ПО от несанкционированного доступа, изменения или уничтожения. Примечательно, что вопросы безопасности прорабатываются еще на этапе разработки, в этом случае одним из эффективных инструментов является SAST.
SAST (Static Application Security Testing), или жестатистическое тестирование безопасности приложений, представляет собой процесс анализа исходного кода или бинарных файлов без их фактического выполнения. Важной особенностью SAST является его способность обнаруживать потенциальные ошибки, уязвимости и недочеты в коде на ранних этапах разработки, когда их можно оперативнее исправить.
Сотрудники кафедры МКиИТ факультета «Информационные технологии» МТУСИ д.т.н., профессор Юрий Леохин и к.т.н., доцент Тимур Фатхулин исследовали проблемы статического тестирования в жизненном цикле разработки безопасного программного обеспечения и предложилипути их решения.
Исследователями были рассмотрены аспекты применения SAST, проанализированы опасности и риски, связанные с недостаточным управлением данными.
«В ходе исследования были рассмотрены практические решения, используемые в таких организациях как Институт системного программирования РАН (инструмент Svace) и ПАО «Ростелеком» (анализатор ПО Solar appScreener). При сравнении наиболее часто применяемых систем управления результатами SAST выбраны три основных критерия: скорость обработки данных,точность обнаружения уязвимостей и простота использования», — рассказал Юрий Леохин.
В результате были разработаны рекомендации по использованию программных инструментов, которые позволят повысить эффективность применения SASTпри разработке ПО для определенных типов задач.
Рекомендуется применять автоматизацию с помощью искусственного интеллекта и методов машинного обучения, что позволит улучшитьобнаружение угроз. Важна интеграция в DevSecOps и создание инструментов для новых языковпрограммирования и многопоточных систем.
Исследователями отмечено, что использование гибких политик безопасности дополнит защиту данных, делая разработку ПО с использованием SASTболее эффективной и надежной.
