4. Разработанная метамодель позволяет формализовать описание

эвристик поиска дефектов на различных уровнях представления ко-

да (например, на уровне абстрактного синтаксического дерева и аб-

страктного семантического графа), что обеспечивает повышение уни-

фикации выявления сложных уязвимостей. К достоинству метамодели

можно добавить:

— наглядность и относительную простоту реализации эвристиче-

ских алгоритмов выявления уязвимостей и собственно базы шаблонов

(сигнатур);

— высокую скорость работы на практике;

— легкость модификации сигнатур и их портирования на различные

платформы и языки программирования.

Предложенные метод и инструментарий полезны не только аккре-

дитованным испытательным лабораториям, но и разработчикам безо-

пасных программных средств.

ЛИТЕРАТУРА

1.

Марков А.С.

,

Цирлов В.Л

. Опыт выявления уязвимостей в зарубежных про-

граммных продуктах // Вопросы кибербезопасности. 2013. № 1 (1). С. 42–48.

2.

Markov A.

,

Luchin D.

,

Rautkin Y.

,

Tsirlov V

. Evolution of a Radio Telecommunication

Hardware-Software Certification Paradigm in Accordance with Information Security

Requirements // In Proceedings of the 11th International Siberian Conference on

Control and Communications (Omsk, Russia, May 21–23, 2015). SIBCON–2015.

IEEE, 2015. Р. 1–4. URL:

http://dx.doi.org/10.1109/SIBCON.2015.7147139

DOI: 10.1109/SIBCON.2015.7147139

3.

Using

Static Analysis to Find Bugs / N. Ayewah, D. Hovemeyer, J.D. Morgenthaler,

J. Penix, W. Pugh. Using Static Analysis to Find Bugs // IEEE Software. 25, 5

(Sep./Oct. 2008). Р. 22–29. URL:

http://dx.doi.org/10.1109/MS.2008.130

DOI: 10.1109/MS.2008.130

4.

Chen H.

,

Wagner D

. MOPS: an infrastructure for examining security properties

of software // In Proceedings of the 9th ACM conference on Computer and

communications security. CCS’02. New York, 2002. Р. 235–244.

5.

Hovemeyer D.

,

Spacco J.

,

Pugh W

. Evaluating and tuning a static analysis to find

null pointer bugs // CM SIGSOFT Software Engineering Notes. 2006. Vol. 31. No. 1.

P. 13–19. URL:

http://dx.doi.org/10.1145/1108768.1108798

DOI: 10.1145/1108792.1108798

6.

Logozzo F.

,

F¨ahndrich M

. On the Relative Completeness of Bytecode Analysis Versus

// Source Code Analysis. LNCS. 2008. No. 4959. P. 197–212.

7.

Detecting

mobile malware threats to homeland security through static analysis / S.-

H. Seoa, A. Guptaa, A.M. Sallama, E. Bertinoa, K. Yimb // Journal of Network and

Computer Applications. 2014. Vol. 38. P. 43—53.

URL:

http://dx.doi.org/10.1016/j.jnca.2013.05.008

DOI: 10.1016/j.jnca.2013.05.008

8.

Zhu F.

,

Wei J.

Static analysis based invariant detection for commodity operating

systems // Computers and Security. 2014. No. 43. P. 49–63.

URL:

http://dx.doi.org/10.1016/j.cose.2014.02.00

DOI: 10.1016/j.cose.2014.02.00

9.

Осовецкий Л.Г

. Технология выявления недекларированных возможностей при

сертификации промышленного программного обеспечения по требованиям бе-

зопасности информации // Вопросы кибербезопасности. 2015. № 1 (9). С. 60–64.

108 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2016. № 1