Необходимо зарегистрироваться, чтобы получить доступ к полным текстам статей и выпусков журналов!
- Название статьи
- Подход к автоматизации процессов фаззинг-тестирования в цикле непрерывной разработки ПО
- Авторы
- Пителинский Кирилл Владимирович yekadath@gmail.com, канд. техн. наук, доцент, МВА, доцент кафедры "Информационная безопасность", ФГАОУ ВО «Московский политехнический университет», Москва, Россия
Фурман Кирилл Владимирович kfurman@astralinux.ru, научный сотрудник, ООО «РусБИТех-Астра», Москва, Россия
Сураев Егор Петрович esuraev@astralinux.ru, научный сотрудник, ООО «РусБИТех-Астра», Москва, Россия
Егорова Виктория Вячеславовна vegorova@astralinux.ru, руководитель направления динамического анализа, ООО «РусБИТех-Астра», Москва, Россия
Панов Алексей Сергеевич apanov@astralinux.ru, старший научный сотрудник, ООО «РусБИТех-Астра», Москва, Россия
- В разделе
- ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Доверенная среда
- Ключевые слова
- динамическое тестирование / DAST / автоматизация / CI/CD / фаззинг / DevSecOps / OSS-Fuzz
- Год
- 2023 номер журнала 2 Страницы 38 - 46
- Индекс УДК
- 004.422
- Код EDN
- FBPMFC
- Код DOI
- 10.52190/2073-2600_2023_2_38
- Финансирование
- Тип статьи
- Научная статья
- Аннотация
- Разработан собственный подход к автоматизации фаззинг-тестирования. Проведен анализ существующих подходов к автоматизации; изложены необходимые требования к автоматизации. Предложен подход, удовлетворяющий описанным требованиям, апробация которого подтвердила его эффективность и удобство применения как со стороны разработчиков, так и со стороны инженеров безопасности. проведено сравнение проекта OSS-Fuzz и предложенного подхода.
- Полный текст статьи
- Необходимо зарегистрироваться, чтобы получить доступ к полным текстам статей и выпусков журналов!
- Список цитируемой литературы
-
Software Memory Safety, Cybersecurity Information Sheet // U.S. Department of Defense. Режим доступа: URL: https://media.defense.gov/2022/Nov/10/2003112742/-1/-1/0/CSI_ SOFTWARE_MEMORY_SAFETY.PDF (дата обращения: 18.03.2023).
Thriving in an insecure world, The GitLab 2022 Global DevSecOps Survey // GitLab. Режим доступа: URL: https:// cdn.pathfactory.com/assets/10519/contents/432983/c6140cad-446b-4a6c-96b6-8524fac60f7d.pdf (дата обращения: 19.03.2023).
ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования".
Godefroid P. Fuzzing: Hack, Art, and Science // Rightslink the Acm. V. 64. № 2 Режим доступа: URL: <https://patricegodefroid.github.io/public_psfiles/Fuzzing-101-CACM2020.pdf> (дата обращения: 20.03.2023).
What is Shift Left Security? // Fortinet. Режим доступа: URL: <https://www.fortinet.com/ru/resources/cyberglossary/shift-left-security> (дата обращения: 23.03.2023).
Проект OSS-Fuzz [Электронный ресурс]. Режим доступа: <https://github.com/google/oss-fuzz/> (дата обращения: 20.03.2023).
Инструментальное средство фаззинг-тестирования CIFuzz [Электронный ресурс]. Режим доступа: https://github.com/CodeIntelligenceTesting/cifuzz (дата обращения 25.03.2023).
Проект OSS-Sydr-Fuzz [Электронный ресурс]. Режим доступа:https://github.com/ispras/oss-sydr-fuzz (дата обращения: 21.03.2023).
Инструментальное средство фаззинг-тестирования AFLplusplus [Электронный ресурс]. Режим доступа:<https://github.com/AFLplusplus/AFLplusplus> (дата обращения: 21.03.2023).
Инструментальное средство фаззинг-тестирования libFuzzer [Электронный ресурс]. Режим доступа: <https://llvm.org/docs/LibFuzzer.html> (дата обращения: 25.03.2023).
Документация GitHub Actions [Электронный ресурс]. Режим доступа: https://docs.github.com/en/actions/learn-github-actions/usage-limits-billing-and-administration (дата обращения: 22.03.2023).
GitLab, Dynamic Application Security Testing (DAST), URL: <https://docs.gitlab.com/ee/user/application_security/dast/> (дата обращения: 22.03.2023).
Проект Futag [Электронный ресурс]. Режим доступа: <https://github.com/ispras/Futag> (дата обращения: 23.03.2023).
Инструментальное средство определения поверхности атаки Natch [Электронный ресурс]. Режим доступа: https://github.com/ispras/natch (дата обращения 25.03.2023).
ООО "РусБИТех-Астра". Режим доступа: URL: <https://astralinux.ru/> (дата обращения: 24.03.2023).
- Купить
