Статический анализ

Oct. 2nd, 2012 07:31 pm
thedeemon: (Default)
[personal profile] thedeemon
Занятное письмо сегодня пришло (фрагмент). Компания Боинг наняла Veracode, чтобы проверить весь покупаемый ею софт на уязвимости. Те написали нам, как поставщику софта для Боинга, чтоб приготовили бинарники в нужном виде, будут их анализировать. В данном случае речь о десктопном софте на C#, посмотрим, найдется ли в нем что-нибудь интересное.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2012-10-02 01:00 pm (UTC)
From: [identity profile] kiryl.livejournal.com
Анализировать на уязвимости бинарники -- это как-то черезжопно. Как узнать к какому компоненту эта уязвимость относится: компилятор-библиотеки-проект?

Date: 2012-10-02 01:10 pm (UTC)
From: [identity profile] nponeccop.livejournal.com
Это стандартный black box vulnerability assessment, не? Соответственно перед обсуждением черезжопности надо как минимум ознакомиться с лит-рой по теме.

Date: 2012-10-02 01:48 pm (UTC)
From: [identity profile] thedeemon.livejournal.com
В случае .net анализируют байткод, там все очевидно.
Для нативного кода просят дебаг билд и указание чем именно собиралось, так что отделить рантайм от прикладного кода несложно. Ну а уж по чьей вине возникла дыра - компилятор или библиотека или мы - это уже не важно, если ее нашли, то она есть, надо ее исправлять.

Date: 2012-10-02 01:07 pm (UTC)
From: [identity profile] stdray.livejournal.com
А как они вообще анализировать собрались? Veracode - это хакеры, да?

Date: 2012-10-02 01:31 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
ммм, статическому анализу не год и не два ;)

не говоря уже о MSIL, который анализировать удобнее, чем исходный сишарп ;)

Date: 2012-10-02 01:48 pm (UTC)
From: [identity profile] stdray.livejournal.com
Я не в курсе, что именно они собрались делать. У них какой-то свой анализатор? Так-то проанализировать и сам thedeemon мог.

Date: 2012-10-02 01:50 pm (UTC)
From: [identity profile] thedeemon.livejournal.com
Да, у них набор своих анализаторов. В педивикии о них и их истории написано что-то.

Date: 2012-10-02 02:25 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
а) свой
б) я считаю, что анализировать код в общем случае должен не тот, кто его писал, т.к. у того, кто писал - в голове идеализированная модель, а читающий - строит фактическую. Использование тулзов разницу слегка сглаживает, но незначительно.

Date: 2012-10-02 01:33 pm (UTC)
wizzard: (Default)
From: [personal profile] wizzard
интересно, а софт на фортране они тоже анализировать умеют? а то у боинга ж и такое есть, и современным фортраном не компилится, как показала печальная практика

Date: 2012-10-02 01:54 pm (UTC)
From: [identity profile] thedeemon.livejournal.com
Неа, по крайней мере в присланном гайде не упоминается.
Упоминаются С/С++, C#, VB.NET, ASP.NET, Java, ColdFusion, PHP, Ruby on Rails, Android/Java, Ovective C.

Date: 2012-10-02 02:58 pm (UTC)
From: [identity profile] juan-gandhi.livejournal.com
Странный этот веракод. Я пока что ничего не извлёк содержательного из их анализа.

Date: 2012-10-03 05:12 am (UTC)
From: [identity profile] churuss.livejournal.com
ох, я думала у них white box ...

Date: 2012-10-03 05:57 am (UTC)
From: [identity profile] thedeemon.livejournal.com
Для чего-то важного наверняка. А у меня они купили мелкую утилиту для разработчиков, она в самолет не попадет.

Date: 2012-10-03 04:05 pm (UTC)
From: [identity profile] altmind.livejournal.com
уж не фрагмент ли The BAT! я вижу на скриншоте?

Date: 2012-10-03 04:14 pm (UTC)
From: [identity profile] thedeemon.livejournal.com
он, родимый
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

thedeemon: (Default)
Dmitry Popov

December 2025

S M T W T F S
 12 3456
789101112 13
14151617181920
21222324252627
28293031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 10th, 2026 01:34 pm
Powered by Dreamwidth Studios