Тестируем сканеры программного кода

По мере того как в вашей инфраструктуре приложений появляется все больше заказного ПО, изменяется и картина угроз безопасности. Позволит ли автоматизированный сканер программного кода обезопасить ваш бизнес или он способен лишь усыплять бдительность ИТ-персонала, а в это время злоумышленники будут незаметно прокрадываться в вашу сеть?

Помните те времена, когда компьютерные взломщики мечта-ли лишь о славе и известности, безопасность же приложений была проблемой, касающейся кого угодно, но только не вас? «Огонь» хакеров на себя отвлекали такие крупные мишени, как Microsoft и Oracle. ИТ-подразделениям предприятий приходилось только регулярно инсталлировать «заплаты» да следить за соблюдением правильной конфигурации межсетевых экранов (МЭ).

Все это осталось в прошлом. Сегодня взлом корпоративных сетей детской забавой не назовешь. Теперь это — растущая в масштабах прибыльная криминальная деятельность. Компьютерные взломщики, похитившие 45,6 млн номеров кредитных карт в корпорации TJX, были в достаточной степени профессиональными поэтому и оставались необнаруженными по меньшей мере в течение 10 мес. Тем временем крупные производители ПО, включая Microsoft, усовершенствовали свои методы его создания, оно стало более безопасным, что заставило злоумышленников переключиться на нишевые и заказные программы и веб-приложения.

Похоже, в ИТ-подразделениях предприятий наконец-то начинают понимать, какими неприятностями чреваты для них рискованные приемы программирования. В ходе проведенного в 2006 г. Институтом компьютерной безопасности (Computer Security Institute — CSI) и ФБР США исследования Computer Crime and Security Survey было установлено, что наиболее критичными в 2008 г. будут считаться проблемы защиты БД и безопасности прикладного ПО, которые будут важнее проблем соблюдения требований нормативных актов.

Если вы считаете, что ваша сеть находится вне опасности, то учтите, что большинство программ создаются не для коммерческого распространения, а являются продуктом собственной разработки либо делаются по контракту в соответствии со специфическими требованиями заказчика. Заказное ПО лежит в основе преобладающего числа всевозможных бизнес-приложений, начиная с динамических веб-узлов, решений SOA (Service-Oriented Architecture) и электронной коммерции и кончая администрированием и автоматизацией бизнес-процессов. Ну и, кроме того, оно предоставляет богатую мишенями среду для вездесущих злоумышленников.

В ответ на растущую эскалацию угроз в нормативных актах HIPAA и PCI DSS (Payment Card Industry Data Security Standard) предусмотрены процедуры, призванные повысить безопасность приложений (или по меньшей мере в них подразумевается необходимость таковых процедур).

И конечно же, там, где имеет место подобное регулирование, немедленно возникают дополнительные возможности для маркетинга. Так, производители автоматизированных средств анализа исходного программного кода переключают свое внимание с поставщиков коммерческого ПО на сами предприятия. Они уверяют, что, вооружившись их инструментальными средствами, разработчики смогут создавать более безопасное заказное ПО и при этом еще и соблюдать требования нормативных актов.

Но способны ли должным образом выполнять эту работу анализаторы кода?

Чтобы выяснить это, мы в лаборатории Neohapsis в Чикаго инсталлировали три популярных статических анализатора исходного программного кода: Fortify SCA (Source Code Analysis) 4.0 фирмы Fortify Software, K7.5 компании Klocwork и Ounce 4.1 фирмы Ounce Labs. Мы также попросили прислать нам свой анализатор компанию Coverity, однако она отклонила наше предложение, сославшись на недостаток ресурсов.