Баги наращивают значимость

Рост напряженности привел к усилению разного рода негативной активности в отношении российских предприятий, учреждений и организаций. Как отметил менеджер по развитию бизнеса Solar AppScreener Владимир Высоцкий на вебинаре "Новые вызовы безопасной разработки в новых реалиях", 90% заказчиков реально столкнулись с усилением атак. Наиболее распространенными являются DDoS и непрямые атаки, прежде всего, связанные с дефейсами сайтов. И это далеко не самый опасный сценарий эксплуатации разного рода уязвимостей в ПО. Как напомнил Владимир Высоцкий, существует два класса уязвимостей: неумышленные ошибки и внедренные намеренно (они же недекларируемые возможности или НДВ). Бывают и пограничные варианты. Тут Владимир Высоцкий привел пример мобильного приложения одной из сетей быстрого питания, где разработчики просто забыли убрать в релизной версии функцию сбора данных о заказах, которая использовалась на стадии тестирования. И поиск уязвимостей становится востребован все больше. Этому способствует целый ряд факторов. В частности, с февраля текущего года заметно активизировалось включение НДВ в свободно распространяемые библиотеки и ПО с открытым кодом. Владимир Высоцкий сослался на проект сообщества "Техдирский клуб", участники которого собирают проекты, включающие неприемлемые компоненты. \[quote\] https://www.comnews.ru/content/219459/2022-03-28/2022-w13/pakostnikov-vyveli-chistuyu-vodu \[/quote\] Таких проектов уже более 240. Обладающих по-настоящему деструктивными функциями среди них считанное количество, а преобладают те, которые выводят разного рода политические лозунги или медиаконтент. Причем эти средства срабатывают только тогда, когда запуск кода производится на территории России или Белоруссии. Вручную обнаружить такого рода НДВ довольно сложно и трудоемко. При этом, как подчеркнул Владимир Высоцкий, сделать это намного проще, чем найти неумышленную уязвимость, которые намного более опасны. Тут хорошим примером является Log4j, обнаруженная в декабре 2021 года и которая использовалась во множестве приложений. В итоге ситуация принципиально не поменялась. Подтверждением тому стало включение в российский ГОСТ по безопасной разработке требования по сканированию кода. В новую версию ГОСТ, который находится в стадии согласования, данная норма сохранится. И с 2023 года соответствие этому ГОСТ будет обязательным для ПО, которое будет работать на объектах критической информационной инфраструктуры. Также такое требование предъявляют к разработчикам Центральный банк России и ряд крупных компаний, например, Россети. Ссылка на источник