Методическая рекомендация № 2025-07-011 | Уровень критичности: 3

Область: Инструментальный анализ.

Тип недостатка: Необоснованный выбор инструментов, в том числе инструментов статического анализа исходного кода, для выстраивания и выполнения процессов РБПО.

Описание: В настоящий момент ФСТЭК России не предъявляет требования наличия сертификата соответствия к большинству типов инструментов анализа кода и архитектуры. При этом к инструментам предъявляются следующие требования:

• инструменты должны быть открытыми, либо отечественной разработки, обеспечивающие реализацию требований ФСТЭК России и национальных стандартов.
• инструменты должны удовлетворять частным техническим требованиям, если они заданы ФСТЭК России (например, требованиям Методики ВУ и НДВ ФСТЭК России к статическим анализаторам исходного кода, написанного на ЯП высокого уровня).
• инструменты должны позволять разработчикам выполнять рекомендации Центра исследований безопасности системного программного обеспечения.

Также при сертификации процессов безопасной разработки контролируется использование организацией инструмента (-ов) статического анализа, соответствующего требованиям ГОСТ Р 71207-2024.

В указанном ГОСТ приведены как требованиям к методам статического анализа, так и алгоритм выбора и конфигурирования инструмента, алгоритм проверки соответствия инструмента требованиям ГОСТ, а также базовые численные критерии.

В настоящий момент под патронажем ФСТЭК России проводятся публичные испытания статических анализаторов (для 6 ЯП). В рамках данных испытаний создаются как публичная база тестов, так и методология оценки соответствия инструментов требованиям ГОСТ. Данная методология будет являться опорной (либо - прототипом, для инструментов статического анализа иных ЯП) для проверки соответствия тех или иных инструментов статического анализа требованиям ГОСТ.

Статические анализаторы, не выполняющие требования ГОСТ, не будут рассматриваться в качестве инструментов, использование которых позволяет выполнить требования, устанавливаемые ФСТЭК России к процессам РБПО.

Рекомендации

• ознакомиться с требованиям ГОСТ к инструментам и методологией оценки соответствия инструментов этим требованиям.
• ознакомиться с целями, задачами, материалами испытаний статических анализаторов.

Дополнительные информационные материалы

• ответ представителя ФСТЭК России на вопрос о наличии требования сертифицированности инструментов
• ГОСТ Р 71207-2024 "Статический анализ программного обеспечения"
• пресс-релиз о ходе испытаний статических анализаторов под патронажем ФСТЭК России

Источник: https://t.me/sdl_inform/172