Одной из систем сертификации является Анализатор исходного кода программы «АК-ВС».
Назначение анализатора - это проведение сертификационных испытаний на отсутствие не декларированных возможностей (программных закладок), анализ безопасности программного кода.
Функции системы:
- проведение анализа и построение отчетов в соответствии с руководящим документом Гостехкомиссии России по отсутствию недекларированных возможностей (до 1 уровня контроля включительно);
- проведение сигнатурно-эвристического анализа кода с целью выявления программных закладок и критических уязвимостей программы;
- единственное сертифицированное средство проведения сертификационных испытаний по 2 и 1 уровням контроля отсутствия не декларированных возможностей.
Технические характеристики анализатора:
- поддержка множества языков ANSI C (ANSI C, C90, C99, C11), C++ (C++98, C++2003, С++11, С++14), Java, C#;
- наличие энциклопедии уязвимостей (в соответствии с международным стандартом CWE для описания дефектов в области безопасности программ);
- имеет изначальные установки для выполнения сигнатурного анализа в рамках языков C/C++, C# и Java;
- поддержка построения отчетов в соответствие с требованиями РД "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей" (Гостехкомиссия России);
- интуитивно понятный веб-интерфейс;
- одновременный анализ нескольких проектов и одновременная работа нескольких экспертов;
- кроссплатформенность и простота развертывания (продукт поставляется в виде virtual appliance, что позволяет запускать его практически на любой операционной системе) [2].
Кроме «АК-ВС» существуют и другие анализаторы кода программ:
- анализатор для выявления недекларированных функций программного кода Appercut CCS [3];
- анализатор для выявления специальных классов ошибок работы с системными ресурсами (использование динамической памяти, синхронизация многопоточных вычислений и пр.). К числу таковых относится, например, анализатор PVS-Studio [4];
- анализаторы общего назначения для выявления большинства типов ошибок, как правило, поддерживающие множество платформ разработки (Coverity SAVE) [5];
Анализатор для выявления недекларированных функций программного кода Appercut CCS, так же, как и «АК-ВС» применяют в информационных системах персональных данных всех уровней защищенности, а также в государственных, финансовых, промышленных и других организациях, где требуются использование сертифицированного ПО.
Appercut CCS – это простой в использовании, гибкий и масштабируемый веб-сервис, который позволяет реализовать поэтапный сценарий анализа кода бизнес-приложений. Его возможности:
- система является статическим анализатором исходного кода (SAST — Static Application Security Testing);
- не требует специальной подготовки кода и потенциально совместима с любым языком программирования бизнес-приложений. Сейчас Appercut® Custom Code Scanner поддерживает 1C 8x, Delphi, Java, JavaScript, LotusScript, PHP, C#, PL\SQL, SAP Abap4, T-SQL;
- система содержит регулярно пополняемую базу данных шаблонов известных закладок. Она мгновенно анализирует код приложения на совпадение с шаблонами и не требует запуска приложения на исполнение;
- преимущество Appercut — учёт специфики архитектуры приложения и бизнес-процессов и концентрация на защите именно от закладок, умышленно оставленных программистами.
На Российском и мировом рынке программных продуктов существует достаточно большое количество анализаторов исходного кода программ. Обзор анализаторов можно посмотреть в статье обозревателя Anti-Malware.ru Екатерины Ильичевой [6]. Но, к сожалею, все приведенные в обзоре анализаторы не являются сертификационными средствами проверки программных продуктов, а позволяют облегчить аудит инфраструктуры или информационной системы.
Анализ также показал, что в настоящее время отсутствуют системы поддержки именно процесса проведения сертификации программных продуктов, но, учитывая специфику выполнения сертификации можно для ее поддержки использовать в работе системы управления проектами. Здесь можно под проектом понимать заявку на проведение сертификационных испытаний. Участники проекта – группа экспертов, выполняющая набор испытаний. Результат выполнения проекта – это сертификат на программный продукт или отказ от сертификации.
Рассмотрим системы управления проекта, которые активно используются в настоящее время. Система управления проектами предоставляет собой проектно-ориентированное рабочее пространство для ведения одного или нескольких проектов, доступное всем участникам проекта через интернет.
Онлайн системы управления проектами обычно содержат:
- панель состояния проекта (Dashboard);
- задачи (по проектам и ответственным);
- план проекта (Milestones);
- список сотрудников;
- возможность просмотра загруженности каждого;
- отчеты по проекту;
- хранилище файлов и документов.
Такие сервисы обычно имеют систему разграничения прав доступа сотрудников к информации, а также часто предполагают предоставление ограниченного доступа клиентам или фрилансерам для участия в проекте.
Одним из популярных аналогов систем управления фирмой, является MicroSoft Project. Задача MS Project: помочь менеджеру проекта в разработке планов, распределить ресурсы по задачам, отследить процесс и проанализировать объем работ [7].
Управление проектами можно осуществлять на основе графических отчетов таких как: диаграмм Ганта, сетевых диаграмм, графиков ресурсов, графиков задач. MS Project обеспечивает фильтрацию, сортировку и группировку задач. Реализована возможность построения иерархических структур связанных работ. Интерфейс снабжен контекстной помощью.
Еще один программный продукт для решения аналогичных задач OpenProj. По функциональным возможностям OpenProj сравним с Microsoft Project 2010.
OpenProj - кроссплатформенное программное обеспечение для управления проектами. Распространяется на условиях лицензии Common Public Attribution License Version 1.0 (CPAL). Позиционируется создателями как открытая замена коммерческому продукту Microsoft Project. Доступна для операционных систем Microsoft Windows, Linux, Unix, Mac OS X [8].
В связи с тем, что сегодня на рынке программных продуктов нет системы, ориентированной именно на поддержку процесса сертификации, то разработка такой системы, которая бы облегчила сертификацию является актуальной.