Внедрена российская разработка для обнаружения уязвимостей в исходном коде

Система анализа исходного кода компании Positive Technologies поможет испытательной лаборатории ФСТЭК России находить уязвимости в средствах защиты информации

Испытательная лаборатория Института инженерной физики, аккредитованная в системах сертификации ФСТЭК, ФСБ и Минобороны России, объявила о внедрении системы анализа исходного кода PT Application Inspector в свою инфраструктуру для тестирования и сертификации средств защиты информации. Продукт компании Positive Technologies (PT) поможет одной из крупнейших российских лабораторий автоматизировать процесс выявления уязвимостей при контроле недекларированных возможностей (НДВ) — в соответствии с новыми требованиями и рекомендациями ФСТЭК, сообщает сайт компании PT.

Согласно последним нормативам ФСТЭК, при сертификации защитного ПО испытательным лабораториям необходимо не только контролировать отсутствие НДВ (функциональных возможностей средств вычислительной техники, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации), но и осуществлять поиск уязвимостей — недостатков защищенности, вызванных ошибками проектирования и разработки.

В 2015 году исследователи обнаружили немало уязвимостей в распространенных средствах защиты информации. Так, команда экспертов по безопасности Google в июне опубликовала отчет о серьезной уязвимости в антивирусе ESET NOD32, а в сентябре обнародовала информацию о 8 уязвимостях в «Антивирусе Касперского», которые позволяли удаленное выполнение кода. Кроме того, в сентябре специалисты немецкой ERNW опубликовали отчет о пяти уязвимостях, найденных в продукте Malware Protection System компании FireEye. Одна из этих уязвимостей позволяла злоумышленникам получить доступ к системе, на которой MPS была установлена.

Фото: Lori.ru