Материалы по тегу: исходный код

09.11.2018 [01:11], Андрей Крупин

ФСТЭК России продлила сертификат на комплекс анализа безопасности кода «АК-ВС 2»

Научно-производственное объединение «Эшелон» сообщило о продлении сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программный комплекс анализа безопасности кода «АК-ВС 2».

Система «АК-ВС 2» предназначена для проведения сертификационных испытаний на отсутствие недекларированных возможностей (программных закладок) и анализа безопасности программного кода. Решение поддерживает языки C, C++, Java, C#, обеспечивает одновременный анализ нескольких проектов и одновременную работу нескольких экспертов, а также может быть интегрировано с различными средами разработки, системами управления версиями программного кода и LDAP/AD.

Выданный ФСТЭК России сертификат свидетельствует о том, что программное обеспечение «АК-ВС 2» соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий.

Программный комплекс «АК-ВС 2» включён в реестр Минкомсвязи РФ как рекомендованный для закупки российскими компаниями и госструктурами. Также в активе продукта имеется сертификат Минобороны России. Все подробности об анализаторе кода представлены по ссылке npo-echelon.ru/production/65/4243.

Материалы по теме:

Источник:

Постоянный URL: http://servernews.ru/977955
30.03.2017 [09:00], Андрей Крупин

Статический анализатор кода SharpChecker получил прописку в реестре российского ПО

Институт системного программирования Российской академии наук (ИСП РАН) сообщил о включении платформы статического анализа кода SharpChecker в реестр отечественного программного обеспечения.

Разработанный ИСП РАН инструментарий позволяет в автоматическом режиме анализировать исходный код приложений на языке C# и находить допущенные в нём ошибки, неточности и потенциальные уязвимости.

«Человеку свойственно ошибаться, — отмечает директор ИСП РАН Арутюн Аветисян, — а программный код пишут живые люди. Чаще всего это высококлассные специалисты, но и они могут допускать ошибки. SharpChecker — то средство, которое может отчасти компенсировать это свойство человеческой природы. Наш инструмент содержит как анализатор кода, так и готовые компоненты для внедрения в производственный цикл разработки ПО. Это позволяет использовать технологию и программистам для исправления ошибок в разрабатываемом проекте, и их руководителям как ещё одну динамическую метрику, хорошо характеризующую качество продукта».

«Сегодня применение инструментов анализа кода обязательно при разработке безопасного программного обеспечения, — говорит Валерий Игнатьев, старший научный сотрудник ИСП РАН. — Софт, состоящий из миллионов строк кода, практически невозможно проверить вручную на наличие ошибок — утечек ресурсов и памяти, разыменований null, неправильного использования атрибутов, ошибок, связанных с параллелизмом исполнения и пр. Поэтому инструмент, способный анализировать подобные объёмы информации, не просто полезен, но необходим. Повышение качества и безопасности кода с каждым годом становится все более важной задачей. Разумеется, SharpChecker — не панацея против погрешностей в коде, он не заменяет, а дополняет другие методы тестирования ПО и поиска ошибок, но он позволяет исправлять ошибки на самых ранних стадиях, существенно снижая общую стоимость разработки, и делает это эффективно».

В ИСП РАН надеются, что включение SharpChecker в единый реестр российских программ позволит обратить на продукт внимание отечественных государственных структур и госкомпаний, закупающих ПО или занимающихся разработкой софтверных решений.

Материалы по теме:

Источник:

Постоянный URL: http://servernews.ru/949954
15.06.2016 [22:48], Сергей Юртайкин

«Яндекс» раскрывает коды системы хранения и анализа данных ClickHouse

Российская интернет-компания «Яндекс» решила опубликовать исходный код системы хранения и анализа больших данных ClickHouse. Интерес к этой разработке проявляет «Почта России».

О раскрытии исходного кода ClickHouse газете «Коммерсантъ» рассказали в «Яндекса». Этот шаг, по словам руководителя группы разработки ClickHouse Алексея Миловидова, является «одним из самых значимых вкладов в Open Source в истории компании».

Фото: Владислав Лоншаков / Коммерсантъ

Фото: Владислав Лоншаков / Коммерсантъ

ClickHouse хранит и быстро обрабатывает большие объёмы информации для создания аналитических отчётов. Система создавалась для сервиса веб-аналитики «Яндекс.Метрика», однако она применяется и в других проектах «Яндекса», в таких как «Яндекс.Маркет», «Яндекс.Почта», «Яндекс.Директ», «Яндекс.Вебмастер», а также для бизнес-аналитики и в мониторинге инфраструктуры.

bloomberg.com

bloomberg.com

«Почта России» собирается использовать ClickHouse в качестве одного из компонентов разработки и формирования онлайн-отчётности, рассказала изданию представитель предприятия Елена Алексеева. По её словам, в настоящее время «Почта России» уже задействует ряд инструментов с открытым исходным кодом, в том числе Hadoop, Cassandra и PostgreSQL для хранения данных.  

Постоянный URL: http://servernews.ru/934686
17.10.2015 [08:35], Сергей Юртайкин

IBM нашла подход к китайскому IT-рынку

Корпорация International Business Machines (IBM) согласилась предоставить китайским властям доступ к исходным кодам своего ПО в надежде укрепить позиции на местном IT-рынке, объём которого аналитики Forrester Research оценивают в $136 млрд по итогам 2015 года.

Как сообщает газета The Wall Street Journal (WSJ) со ссылкой на информированные источники, IBM раскроет Министерству промышленности и информационных технологий КНР (Ministry of Industry and Information Technology, MIIT) исходники некоторых своих программных продуктов. О каком софте идёт речь, изданию неизвестно.

digitaljournal.com

digitaljournal.com

Отмечается, что представители власти смогут изучать «внутренности» программного обеспечения IBM только в специальном надёжно защищённом помещении, откуда нельзя будет вынести никакую увиденную информацию. Сколько времени дадут чиновникам министерства на просмотр исходных кодов, не уточняется.

Ранее в Китае приняли закон, который обязывает IT-компании, намеревающиеся продавать своё ПО и сервисы местным банкам, раскрывать исходные коды своих продуктов и устанавливать в них китайские алгоритмы шифрования.

bloomberg.com

bloomberg.com

Собеседники WSJ, знакомые со стратегией IBM, говорят, что компания оказалась больше подготовлена к усилению сотрудничества с китайским правительством, чем другие американские технологические вендоры. Таким образом, IBM может стать первой в США IT-корпорацией, которая будет следовать новым законодательным требованиям КНР по поводу открытия исходников программного обеспечения.

Постоянный URL: http://servernews.ru/921990
08.10.2015 [13:18], Андрей Крупин

Positive Technologies предоставила испытательной лаборатории ФСТЭК России анализатор исходного кода

Испытательная лаборатория Института инженерной физики, аккредитованная в системах сертификации ФСТЭК, ФСБ и Минобороны России, объявила о внедрении в свою инфраструктуру системы анализа исходного кода PT Application Inspector, разработчиком которой является компания Positive Technologies. Продукт будет задействован для тестирования и сертификации средств защиты информации и поможет одной из крупнейших отечественных лабораторий автоматизировать процесс выявления уязвимостей при контроле недекларированных возможностей (НДВ) — в соответствии с новыми требованиями и рекомендациями ФСТЭК России.

Согласно последним нормативам Федеральной службы по техническому и экспортному контролю, при сертификации защитного ПО испытательным лабораториям необходимо не только контролировать отсутствие НДВ (функциональных возможностей средств вычислительной техники, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации), но и осуществлять поиск уязвимостей — недостатков защищённости, вызванных ошибками проектирования и разработки.

Ключевой особенностью комплекса PT Application Inspector является гибридный подход, сочетающий преимущества статического (Static application security testing, SAST), динамического (Dynamic application security testing, DAST) и интерактивного (Interactive application security testing, IAST) анализа, а также использующий базу знаний уязвимостей, накопленную экспертами Positive Technologies. Система работает со множеством платформ и языков, включая PHP, Java, .NET, SAP ABAP, HTML/JavaScript и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XXS и XXE. По заверениям разработчиков, за счёт комбинации методов DAST, SAST и IAST, анализа контекста и конфигураций серверов и приложений PT Application Inspector даёт в среднем на 75% меньше ложных срабатываний, чем аналогичные продукты. Это существенно снижает затраты экспертов на ручную проверку результатов.

С подробным описанием анализатора исходного кода PT Application Inspector можно ознакомиться на сайте ptsecurity.ru/appsecurity/application-inspector.

Материалы по теме:

Источник:

Постоянный URL: http://servernews.ru/921519
Система Orphus