Опубликовано в журнале "Программные системы и вычислительные методы" в № 2 за 2015 год в рубрике "Показатели качества и повышение надежности программных систем" на страницах 150-162.

Аннотация: В статье рассмотрено сложившееся противоречие между природой реальных уязвимостей программного кода, ограничениями нормативно-методической базой испытаний по требованиям безопасности программного обеспечения и желанием разработчиков не предоставлять исходные тексты программ. Методы анализа программных продуктов, которые не требуют наличия исходных текстов программ, широко применяются за рубежом, а в нашей стране еще не получили широкого распространения. Исследуется вопрос: могут ли такие методы и средства повысить эффективность сертификационных испытаний программного обеспечения, а также определить необходимые изменения в нормативных документах, открывающие возможности применения методов тестирования программ без исходных кодов при сертификационных испытаний. Методы исследования: программная инженерия, анализ сложных систем, теория надежности сложных систем, синтез программного обеспечения, компиляция программного обеспечения. В результате исследования показано, что использование методов тестирования без исходных текстов позволяет находить распространенные уязвимости в программном обеспечении, которые эффективно не выявляются из-за ограничений нормативной базы на наличие исходных текстов; накопленный опыт сертификационных испытаний на отсутствие недекларированных возможностей и программных закладок, а также независимого тестирования программных продуктов позволяет определить приоритетные направления совершенствования нормативной базы, основанной на применении методов тестирования программ без исходных текстов.

Ключевые слова: уязвимость программного обеспечения, сертификация программного обеспечения, тестирование программного обеспечения, выявление программных закладок, выявление недекларированных возможностей, безопасность программного обеспечения, оценивание защищенности информации, выявление уязвимостей программ, сигнатурный анализ, тестирование программ

DOI: 10.7256/2305-6061.2015.2.16767

Статья опубликована с лицензией Creative Commons Attribution-NonCommercial 4.0 International License (CC BY-NC 4.0) – Лицензия «С указанием авторства – Некоммерческая».

Библиография:
Голосовский М.С. Модель жизненного цикла разработки программного обеспечения в рамках научно-исследовательских работ//Автоматизация и современные технологии. 2014. № 1. С. 43-46.
Марков А.С., Миронов С.В., Цирлов В.Л. Опыт тестирования сетевых сканеров уязвимостей // Информационное противодействие угрозам терроризма. 2005. № 5. С. 109-122.
Нащёкин П.А., Непомнящих А.В., Соснин Ю.В., Куликов Г.В. Критерии и методы проверки выполнения требований по защищенности автоматизированной системы при изменении настроек или выделенных ресурсов средств защиты информации // Вопросы защиты информации. 2013. № 4 (102). С. 50-53.
Законодательно-правовое и организационно-техническое обеспечение информационной безопасности АС и ИВС / Под ред. И.В.Котенко. СПб: ВУС, 2000. 190 с.
Марков А.С., Миронов С.В., Цирлов В.Л. Выявление уязвимостей программного обеспечения в процессе сертификации // Информационное противодействие угрозам терроризма. 2006. № 7. С. 177-186.
Богомолов А.В., Чуйков Д.С., Запорожский Ю.А. Средства обеспечения безопасности информации в современных автоматизированных системах//Информационные технологии. 2003. № 1. С.2-8.
Непомнящих А.В., Куликов Г.В., Соснин Ю.В., Нащёкин П.А. Методы оценивания защищенности информации в автоматизированных системах от несанкционированного доступа // Вопросы защиты информации. 2014. № 1 (104). С. 3-12.
Руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» 1999. 122 с.
Фёдоров М.В., Калинин К.М., Богомолов А.В., Стецюк А.Н. Математическая модель автоматизированного контроля выполнения мероприятий в органах военного управления // Информационно-измерительные и управляющие системы. 2011. Т. 9. № 5. С. 46-54.
Соснин Ю.В., Куликов Г.В., Непомнящих А.В. Комплекс математических моделей оптимизации конфигурации средств защиты информации от несанкционированного доступа // Программные системы и вычислительные методы. 2015. № 1. С. 32-44.
Марков А.С., Миронов С.В., Цирлов В.Л.. Выявление уязвимостей в программном коде // Открытые системы, №12, 2005. С.64-69.
Марков А.С., Миронов С.В., Цирлов В.Л. Разработка политики безопасности организации в свете новейшей нормативной базы // Защита информации. Конфидент. 2004. № 2. С. 20.
Ховард М., ЛеБланк Д., Виера Д. 19 смертных грехов, угрожающих безопасности программ: как недопустить типичных ошибок. М.: Издательский Дом «ДМК-пресс», 2006. 442 с.
Майерс Г. Искусство тестирования программ. М.: Финансы и статистика, 1982. 162 с.
Лакутин А. Аутсорсинг тестирования программного обеспечения. М.: КИС, 2002. 412 с.
Голосовский М.С. Информационно-логическая модель процесса разработки программного обеспечения // Программные системы и вычислительные методы. 2015. № 1. С. 59-68.
Standard for Software Unit Testing. ANSI/IEEE Std 1008-1987. 31 р.
Котляров В.П., Коликова Т.В. Основы тестирования программного обеспечения. М.: Интернет-университет информационных технологий, 2006. 285 с.
Козлов В.Е., Богомолов А.В., Рудаков С.В., Оленченко В.Т. Математическое обеспечение обработки рейтинговой информации в задачах экспертного оценивания//Мир измерений. 2012. № 9. С. 42-49.
Кукушкин Ю.А., Богомолов А.В., Ушаков И.Б. Математическое обеспечение оценивания состояния материальных систем//Информационные технологии. 2004. Приложение к № 7. 24 с.
Бейзер Б. Тестирование черного ящика: технологии функционального тестирования программного обеспечения систем. СПб.: Питер, 2004. 236 с

Правильная ссылка на статью:
просто выделите текст ссылки и скопируйте в буфер обмена
Миронов С.В., Куликов Г.В. Анализ потенциальных возможностей методов тестирования программного обеспечения без использования исходных текстов. // Программные системы и вычислительные методы. - 2015. - № 2. - C. 150-162. DOI: 10.7256/2305-6061.2015.2.16767