Написать
Содержание
16.05.2025

Методическая рекомендация № 2025-05-008 | Уровень критичности: 2

Область: Статический анализ.

Тип недостатка: Недостаточное обоснование размеченных предупреждений о потенциальных уязвимостях кода, полученных от статического анализатора.

Описание: На рис. 1-5 представлены размеченные предупреждения о потенциальных уязвимостях кода, полученные от статического анализатора. При этом результаты проведения разметки не содержат достаточного обоснования, позволяющего подтвердить корректность вынесенных вердиктов (Won't fix - истинное срабатывание, которое по тем или иным причинам исправлять нецелесообразно; False Positive - ложное срабатывание инструмента статического анализа).

Рисунок 1. Методическая рекомендация № 2025-05-008

Рисунок 2. Методическая рекомендация № 2025-05-008

Рисунок 3. Методическая рекомендация № 2025-05-008

Рисунок 4. Методическая рекомендация № 2025-05-008

Рисунок 5. Методическая рекомендация № 2025-05-008

Каждое размеченное предупреждение должно быть снабжено комментарием, поясняющим принятое решение. Комментарий должен быть достаточен, чтобы другой участник процессов сертификационных испытаний мог понять основания для принятого решения без проведения тщательного анализа исходного кода объекта оценки. Формулировка пояснений общего вида, таких как «Не эксплуатируемо», «Не несёт угроз безопасности информации», «Не применимо» и т. п., а также применение единообразной групповой разметки общего вида в отношении не полностью идентичных причин срабатывания анализатора, не допускается и расценивается как некачественно выполненная разметка.

Рекомендации

  • необходимо каждое размеченное предупреждение сопровождать индивидуальным комментарием, содержащим обоснование вынесенного вердикта.
  • при формировании комментариев необходимо избегать общих фраз, таких как «Не эксплуатируемо» или «Не применимо». Вместо этого необходимо приводить конкретные аргументы и обоснования (рис. 6-7 - пример корректной разметки).
  • в случае, если срабатывание статического анализатора является False Positive - настоятельно рекомендуется заводить заявку (Issue) на исправление бага в трекер инструмента статического анализа. Также необходимо указать в комментарии к разметке ссылку на данную заявку, если трекер является публичным.

Рисунок 6. Методическая рекомендация № 2025-05-008

Рисунок 7. Методическая рекомендация № 2025-05-008

Дополнительные информационные материалы

Источник: https://t.me/sdl_inform/172

Методическая рекомендация № 2026-03-014 | Уровень критичности: 3
Методическая рекомендация № 2026-03-013 | Уровень критичности: 3
Методическая рекомендация № 2025-09-012
Методическая рекомендация № 2025-09-012
Методическая рекомендация № 2025-07-011 | Уровень критичности: 3
Методическая рекомендация № 2025-07-010 | Уровень критичности: 3
Методическая рекомендация № 2025-05-009 | Уровень критичности: 2
Методическая рекомендация № 2025-05-008 | Уровень критичности: 2
Методическая рекомендация № 2025-04-007 | Уровень критичности: 3
ГОСТ 71206-2024
ГОСТ 71207-2024
ГОСТ 56939-2024

На нашем сайте мы используем cookie файлы, содержащие информацию о предыдущих посещениях веб-сайта. Данные обрабатываются для улучшения качества работы нашего веб-сайта. Если вы не хотите использовать cookie файлы, измените настройки браузера.