Статический анализ

Oct. 2nd, 2012 07:31 pm
thedeemon: (Default)
[personal profile] thedeemon
Занятное письмо сегодня пришло (фрагмент). Компания Боинг наняла Veracode, чтобы проверить весь покупаемый ею софт на уязвимости. Те написали нам, как поставщику софта для Боинга, чтоб приготовили бинарники в нужном виде, будут их анализировать. В данном случае речь о десктопном софте на C#, посмотрим, найдется ли в нем что-нибудь интересное.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2012-10-02 01:00 pm (UTC)
From: [identity profile] kiryl.livejournal.com
Анализировать на уязвимости бинарники -- это как-то черезжопно. Как узнать к какому компоненту эта уязвимость относится: компилятор-библиотеки-проект?

Date: 2012-10-02 01:10 pm (UTC)
From: [identity profile] nponeccop.livejournal.com
Это стандартный black box vulnerability assessment, не? Соответственно перед обсуждением черезжопности надо как минимум ознакомиться с лит-рой по теме.

Date: 2012-10-02 01:48 pm (UTC)
From: [identity profile] thedeemon.livejournal.com
В случае .net анализируют байткод, там все очевидно.
Для нативного кода просят дебаг билд и указание чем именно собиралось, так что отделить рантайм от прикладного кода несложно. Ну а уж по чьей вине возникла дыра - компилятор или библиотека или мы - это уже не важно, если ее нашли, то она есть, надо ее исправлять.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

thedeemon: (Default)
Dmitry Popov

December 2025

S M T W T F S
 12 3456
789101112 13
14151617181920
21222324252627
28293031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 15th, 2026 05:13 am
Powered by Dreamwidth Studios