РБПО-054. Процесс 10 — Статический анализ исходного код (часть 3/4)

28 августа 202528 авг 2025

2 мин

Вернёмся к ГОСТ Р 56939-2024. По порядку пройдёмся по артефактам. 5.10.3.1 Регламент проведения статического анализа исходного кода ПО должен содержать следующие сведения: Здесь сразу предлагаю открыть ГОСТ Р 71207-2024 и заимствовать для составления регламента из пятого раздела "Требования к внедрению и порядку выполнения статического анализа". - обязанности сотрудников и их роли при проведении статического анализа; - критерии выбора инструментов статического анализа; [рассмотрим подробнее ниже] - критерии выбора ПО (модулей ПО, компонентов ПО, функциональных подсистем ПО), подлежащих проведению статического анализа; - правила обработки срабатываний средств статического анализа; - типы и критичность ошибок (уязвимостей), выявляемых статическим анализатором, подлежащих устранению, и приоритеты устранения ошибок (уязвимостей); На тему критических ошибок предлагаю заглянуть в 6 раздел ГОСТ Р 71207-2024 "Классификация критических ошибок, находимых статическими анализаторами". - периодично

Вернёмся к ГОСТ Р 56939-2024. По порядку пройдёмся по артефактам.

5.10.3.1 Регламент проведения статического анализа исходного кода ПО должен содержать следующие сведения:

Здесь сразу предлагаю открыть ГОСТ Р 71207-2024 и заимствовать для составления регламента из пятого раздела "Требования к внедрению и порядку выполнения статического анализа".

- обязанности сотрудников и их роли при проведении статического анализа;

- критерии выбора инструментов статического анализа; [рассмотрим подробнее ниже]

- критерии выбора ПО (модулей ПО, компонентов ПО, функциональных подсистем ПО), подлежащих проведению статического анализа;

- правила обработки срабатываний средств статического анализа;

- типы и критичность ошибок (уязвимостей), выявляемых статическим анализатором, подлежащих устранению, и приоритеты устранения ошибок (уязвимостей);

На тему критических ошибок предлагаю заглянуть в 6 раздел ГОСТ Р 71207-2024 "Классификация критических ошибок, находимых статическими анализаторами".

- периодичность проведения статического анализа или события, при наступлении которых необходимо выполнять повторный статический анализ;

Про периодичность — см. опять 5 раздел ГОСТ Р 71207-2024.

- критерии пересмотра конфигурации и параметров настройки инструментов статического анализа.

П.5.10.3.2:

Перечень инструментов статического анализа должен включать наименования инструментов статического анализа, их версии и информацию о соответствии используемым языкам программирования.

Думаю, тут всё понятно. Давайте лучше вернёмся к пункту "критерии выбора инструментов статического анализа".

Выбор — интересный вопрос. Статических анализаторов много: List of tools for static code analysis, AppSec Каталог - SAST.

В общем случае следует выбирать тот, который лучше подходит для конкретного проекта и который удобно использовать. Но сейчас мы находимся в контексте РБПО и сертификации ПО во ФСТЭК, что следует учитывать.

В данный момент нет явных ограничений на используемые инструменты. Однако к выбору надо подходит вдумчиво. Подробнее эта тема раскрыта в "Методической рекомендации № 2025-07-011".

В том числе там говорится про испытания статических анализаторов кода. Публикации на эту тему:

ФСТЭК России объявила о начале масштабных испытаний статических анализаторов
Испытания статических анализаторов
(BIS Journal — "Информационная безопасность бизнеса", № 2(57) 2025, стр. 72–82)
Итоги этапа «Домашнее задание» испытаний статических анализаторов под патронажем ФСТЭК России
Мой комментарий касательно PVS-Studio в Telegram-канале

В общем, с точки зрения ГОСТ Р 56939-2024 и ГОСТ Р 71207-2024 сейчас лучше выбирать анализаторы, участвующие в испытаниях. Например, PVS-Studio :) Конечно, неизвестно, как он покажет себя на испытания. Но у него точно больше потенциала соответствовать, чем у условных Sonar, Coverity и т.д. Хотя бы потому, что они не участвуют в испытаниях и вряд ли их будут дотачивать под требования этих стандартов.