Использование инструментов композиционного анализа

Композиционный анализ ПО, наряду с другими практиками исследования безопасности ПО, является одной из ключевых мер по выявлению уязвимостей в компонентах, применяемых при разработке приложений.

Важной отличительной особенностью композиционного анализа ПО является то, что его выполнение происходит на уровне сборки приложения. То есть исследуется не скомпилированное и установленное в среде функционирования ПО, а входящие в его состав компоненты.

Важным преимуществом является то, что, в ходе проверки приложения анализируются все зависимости, которые «подтягивают» сторонние компоненты при сборке приложения.

То есть с помощью композиционного анализа можно выявить уязвимости во всех сторонних компонентах, используемых в коде, а не только в конкретном выбранном участке на поверхности атак, как это происходит при тестировании на проникновение, выполняемом этичным хакером.

Особое внимание следует обратить на то, что при выполнении композиционного анализа ПО исследованию подлежат не уязвимости в ПО, относящиеся к конкретному коду, как, например, при статическом анализе кода, а проверка по базе известных уязвимостей. Полнота и достаточность базы определяются свободными сообществами и производителями ПО.

С учетом описанного выше, композиционный анализ является общепризнанной мерой по выявлению уязвимостей в сторонних компонентах; он рекомендован к повсеместному применению как в мировой практике, так и отечественными регуляторами в области защиты информации.

Для наибольшей эффективности рекомендуется встроить процесс композиционного анализа ПО в качестве важного этапа разработки ПО, тем самым обеспечив выполнение практики РБПО.

Схема, описывающая этапы внедрения композиционного анализа ПО в процесс разработки ПО, представлена ниже.

Дорожная карта

Для более детального изучения подходов к внедрению композиционного анализа ПО рекомендуем обратиться за предоставлением доступа в закрытый раздел ресурса «Экспертам».