РБПО

Практики моделирования угроз (МУ) и разработки описания поверхности атаки (ПА) — важные аналитические этапы, предшествующие практическим работам по исследованию безопасности ПО. МУ — это практика, которая позволяет сформировать перечень наиболее актуальных угроз безопасности, потенциально применимых к исследуемому ПО.

Статический анализ кода является одной из ключевых мер по выявлению дефектов, способных привести к возникновению ошибки или к успешной эксплуатации уязвимостей потенциальными злоумышленниками. Важной отличительной особенностью статического анализа кода является то, что его выполнение происходит на уровне исходного кода, то есть исследуется не скомпилированное и установленное в среде функционирования ПО, а его алгоритмы и функции программы.

Композиционный анализ ПО, наряду с другими практиками исследования безопасности ПО, является одной из ключевых мер по выявлению уязвимостей в компонентах, применяемых при разработке приложений. Важной отличительной особенностью композиционного анализа ПО является то, что его выполнение происходит на уровне сборки приложения, то есть исследуется не скомпилированное и установленное в среде функционирования ПО, а входящие в его состав компоненты.

Практика проверки кода на внедрение вредоносного ПО через цепочки поставок — важный процесс, направленный на поддержание необходимого уровня безопасности ПО, в котором использовались сторонние компоненты. Проверке должен подвергаться код, используемый при разработке исследуемого ПО: как код свободно распространяемого ПО (Open source), так и код от сторонних поставщиков.