Какие подходы существуют к оценке средств статического анализа кода?

Состоялся научный семинар отдела № 2 Института информационных технологий НАНА на тему «Подходы к оценке средств анализа статического кода».

Представляя доклад, магистрант Института Гюльнар Ягублу отметила, что в результате ошибок, допущенных при проектировании, создании и эксплуатации программных систем, возникли многочисленные пробелы. Она подчеркнула, что злоумышленники используют эти пробелы для несанкционированного доступа к информационным системам.

Отметив, что обнаружение пробелов в запущенном в эксплуатацию программном обеспечении является сложным вопросом, что для этого требуются большие ресурсы и затраты: «При создании программного обеспечения необходимо выявить и устранить пробелы. Для этого используются инструменты анализа статического кода», – сказала она.

Г.Ягублу отметила, что существуют многочисленные инструменты анализа открытого кода и коммерческого статического кода, также добавила, что в настоящее время актуален вопрос их оценки как с точки зрения точности обнаружения пробелов, так и функциональных возможностей.

Она проинформировала о проекте SAMATE (Software Assurance Metrics And Tool Evaluation), отметив, что существуют различные методологии оценки инструментов анализа статического кода, используемых для выявления пробелов. Она объяснила метрики и их основные характеристики используемые для объективной оценки точности выявления пробелов в безопасности с помощью статистических анализаторов кода. Она отметила, что в будущем некоторые инструменты анализа статического кода с открытым исходным кодом будут проверяться с помощью SAMATE Method и тестовой базы.

В заключение были проведены обсуждения вокруг доклада, даны ответы на вопросы. Заведующий отделом, доктор философии по технике, доцент Ядигар Имамвердиев также рекомендовал изучить инструменты динамического анализа кода и изучить международный опыт в этой области.

© Все права защищены. При использовании информации гиперссылка на сайт www.iсt.az обязательна.