НПА и ГОСТы

Область: Поддержка безопасности эксплуатируемых средств защиты информации (далее - СЗИ). Тип недостатка: Отсутствие поддержки разработчиком безопасности эксплуатируемых СЗИ, в том числе устранения известных уязвимостей программных компонентов СЗИ.

Область: Тестирование механизмов реализации функций безопасности (далее - ФБ). Типы недостатков: Неполная инвентаризация реализуемых средством защиты информации (далее - СЗИ) ФБ, недостаточный объем тестирования реализующего ФБ программного кода.

Примеры некорректных ссылок.

Алгоритм представления перечня заимствованных программных компонентов с открытым исходным кодом (далее - SBOM).

Область: Инструментальный анализ. Тип недостатка: Необоснованный выбор инструментов, в том числе инструментов статического анализа исходного кода, для выстраивания и выполнения процессов РБПО.

Область: Фаззинг-тестирование. Тип недостатка: Применение средств фаззинг-тестирования, не реализующих генетические алгоритмы фаззинг-тестирования (в том числе за счет инструментирования тестируемого кода).

Область: Фаззинг-тестирование. Тип недостатка: Игнорирование необходимости анализа сэмплов, приведших к зависанию фаззинг-цели.

Область: Статический анализ. Тип недостатка: Недостаточное обоснование размеченных предупреждений о потенциальных уязвимостях кода, полученных от статического анализатора.

Область: Фаззинг-тестирование. Тип недостатка: Отсутствие путей выполнения программы, обнаруженных фаззером.