В МТУСИ разработали рекомендации для повышения эффективности SAST
Приложениями (программным обеспечением, ПО) ежедневно пользуются миллионы человек по всему миру, поэтому особенно актуальным становится вопрос обеспечения их безопасности. Безопасность приложений – это целый комплекс мер, направленных на защиту ПО от несанкционированного доступа, изменения или уничтожения. Вопросы безопасности прорабатываются еще на этапе разработки, в этом случае одним из эффективных инструментов является SAST.
SAST (Static Application Security Testing), или же статистическое тестирование безопасности приложений, представляет собой процесс анализа исходного кода или бинарных файлов без их фактического выполнения. Важной особенностью SAST является его способность обнаруживать потенциальные ошибки, уязвимости и недочеты в коде на ранних этапах разработки, когда их можно оперативнее исправить.
Сотрудники кафедры МКиИТ факультета «Информационные технологии» МТУСИ д.т.н., профессор Юрий Леохин и к.т.н., доцент Тимур Фатхулин исследовали проблемы статического тестирования в жизненном цикле разработки безопасного программного обеспечения и предложили пути их решения. Об этом CNews сообщили представители МТУСИ.
Исследователями были рассмотрены аспекты применения SAST, проанализированы опасности и риски, связанные с недостаточным управлением данными.
«В ходе исследования были рассмотрены практические решения, используемые в таких организациях как Институт системного программирования РАН (инструмент Svace) и ПАО «Ростелеком» (анализатор ПО Solar appScreener). При сравнении наиболее часто применяемых систем управления результатами SAST выбраны три основных критерия: скорость обработки данных, точность обнаружения уязвимостей и простота использования», — сказал Юрий Леохин.
В результате были разработаны рекомендации по использованию программных инструментов, которые позволят повысить эффективность применения SAST при разработке ПО для определенных типов задач.
Рекомендуется применять автоматизацию с помощью искусственного интеллекта и методов машинного обучения, что позволит улучшить обнаружение угроз. Важна интеграция в DevSecOps и создание инструментов для новых языков программирования и многопоточных систем.
Исследователями отмечено, что использование гибких политик безопасности дополнит защиту данных, делая разработку ПО с использованием SAST более эффективной и надежной.