Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024)

Материал из 0x1.tv

(перенаправлено с «20240621K»)
Докладчик
Артемий Гранат.jpg
Артемий Гранат

В докладе рассматриваются методы идентификации реквизитов сборки, описываются их сильные и слабые стороны.

Представлен инструмент, обеспечивающий журналирование процесса сборки с помощью отслеживания системных вызовов. Приводится оценка временных затрат на сборку с использованием разработанного инструмента.

Видео

on youtube


Thesis

В условиях стремительного развития технологий и растущей сложности современных систем, безопасная разработка программного обеспечения приобретает ключевое значение. Организации все чаще сталкиваются с необходимостью обеспечения безопасности на всех этапах жизненного цикла разработки программного обеспечения, чтобы защитить свои системы и данные от потенциальных угроз.

1 апреля 2024 года был введён государственный стандарт «ГОСТ Р 71206-2024 Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования» [1], направленный на установление единых требований к безопасному компилятору языков Си и C++. Одним из пунктов стандарта является функция журналирования процесса трансляции, с сохранением такой информации, как параметры компиляции и хэш-суммы входных и выходных файлов.

Несмотря на то, что стандарт ориентирован на языки Си и C++, функция журналирования полезна и для программ, написанных на других компилируемых языках. Это подчеркивает актуальность разработки инструмента для журналирования процесса трансляции, независимого от языка программирования. Такой инструмент может стать важным компонентом системы безопасности программного обеспечения, позволяя обнаруживать и устранять уязвимости на этапе компиляции.

Software Bill of Materials (SBoM) представляет собой детализированный список всех компонентов, используемых в программном продукте. Этот инструмент позволяет организациям лучше понимать и управлять компонентами, входящими в их программные продукты, что в свою очередь способствует более эффективному выявлению и реагированию на уязвимости.

Введение стандарта ГОСТ Р 71206-2024 открывает новые возможности для интеграции SBoM в процесс безопасной разработки. Такой подход не только улучшит безопасность разрабатываемых программ, но и обеспечит большую совместимость с международными стандартами по безопасности программного обеспечения.

Цель — анализ методов идентификации реквизитов сборки, описание разработанного инструмента для генерации базы данных компиляции sbom-trace, оценка времени работы процесса сборки с использованием инструмента и без него.

Далее, см → https://osday.ru/downloads/Granat.pdf

Презентация

Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024).pdf
Идентификация реквизитов сборки через отслеживание системных вызовов (Артемий Гранат, OSDAY-2024)!.jpg

Примечания и ссылки