Завершена трансформация Консорциума участников по поддержке Технологического центра исследования безопасности ядра Linux, нацеленная на то, чтобы Консорциум координировал работу Центра не тольков части исследований ядра Linux, но и в части других компонентов с открытым исходным кодом. Начинается формирование технических комитетов Консорциума в первую очередь по направлениям, исследования по которым уже активно идут:- Qemu/libvirt/Podman/Kubernetes - nginx- OpenSSL- Python3- NodeJS- .NET- OpenJDK- PostgreSQLПриглашаем присоединяться к совместным исследованиям безопасности компонентов с открытым исходным кодом!
Информ::Доверенная Разработка
@sdl_inform
Информационный канал сообщества ФСТЭК России и ИСП РАН в области разработки безопасного и качественного ПО. Описание семейства чатов и правила доступны тут: https://t.me/sdl_community/7859
Похожие каналы
Все →Последние посты

Коллеги, добрый день!Несколько слов о сегодняшнем бесспорно ключевом событии для РБПО-сообщества.1.В 11:00 состоится торжественное подписание соглашения о практическом сотрудничестве ПАО "Ростелеком" и ИСП РАН по созданию конвейера и сервисов РБПО, в т. ч. на основе наработок проекта Унифицированная среда разработки безопасного отечественного ПО. 2. В 14:00 - 15:45 состоится анонсированный выше круглый стол (трансляция), посвященный и актуальным вопросам РБПО в целом, и рассказу про предпосылки и цели подписанного соглашения. С уважаемыми спикерами, несмотря на стратегические и горящие вопросы, мы решили провести его максимально живо, в стиле "антипленарка"! Приходите очно - будет интересно, и будет возможность задать вопросы. 3. Ну и для тех, кто очно не в Казани - одно фото "раздаточных материалов" про Альянс и протоконвейер! Все официальные публикации и маркетология посыпятся с 11:00, пока же просто картинка для привлечения внимания 😈 Ждем вас на наших стендах и в трансляции!
Методическая рекомендация № 2025-09-012 | РекомендацияАлгоритм представления перечня заимствованных программных компонентов с открытым исходным кодом (далее - SBOM).Описание: В соответствии с требованиями информационного письма № 240/24/4436 от 26.09.2024 изготовители средств защиты информации (далее - СЗИ), испытательные лаборатории и органы по сертификации при проведении сертификации СЗИ, включающих в свой состав заимствованные программные компоненты с открытым исходным кодом (далее - заимствованные компоненты), должны проводить сертификационные испытания СЗИ и осуществлять их поддержку безопасности в соответствии с Порядком испытаний и поддержки безопасности СЗИ, в состав которых входят заимствованные компоненты. На практике значительная часть представленных SBOM возвращается на доработку по причине ошибок, несоответствий или недостатка информации.Целью данной методической рекомендации является представление алгоритма подготовки SBOM, направленного на минимизацию ошибок.1. Для проверки SBOM рекомендуется использовать скрипт sbom-checker.py с включенными опциями:-e ERRORS, --errors ERRORS — максимальное число ошибок для вывода; по умолчанию - 10; для вывода всех ошибок - 0.--check-vcs — проверка url типа vcs на git/svn/hg/fossil-репозиторий (требуется доступ к Интернет и наличие пакетов git, subversion и mercurial).--check-source-distribution — проверка url типа source-distribution.- Ошибки типа ERROR обязательны к исправлению;- Большинство ошибок типа WARNING являются обязательными к исправлению, но при проверке ссылок могут быть ложные срабатывания. (см. п. 4.1).2. В соответствии с требованиями к полям объекта, описывающего информацию о продукте (Табл. 3 информационного письма) необходимо:- проверить, что содержимое поля "name" совпадает с названием продукта, указанным в формуляре;- проверить, что содержимое поля "version" совпадает с версией продукта, указанной в формуляре.3. В соответствии с требованиями к полям объекта, описывающего информацию об изготовителе
Методическая рекомендация № 2025-09-012 | РекомендацияПримеры некорректных ссылок:1. http://github.com/FasterXML/java-classmate — выводит в stderr «warning: redirecting to https://github.com/FasterXML/java-classmate/» Решение: необходимо использовать протокол https.2. https://gitlab.ow2.org/asm/asm — выводит в stderr «warning: redirecting to https://gitlab.ow2.org/asm/asm.git/»Решение: ссылка на git-репозиторий должна заканчиваться на .git.3. https://github.com/antlr/website-antlr2/blob/master/download/antlr-2.7.7.tar.gz — не является валидной ссылкой на архив, если указан тип source-distribution. Ссылка ведет на веб-интерфейс для просмотра содержимого репозитория, а не скачивает архив.4. git+https://github.com/sindresorhus/resolve-from.git – команда git ls-remote не умеет работать с протоколом git+https, поэтому при анализе с опцией --check-vcs этот источник будет обработан как невалидный.5. https://github.com/vuejs/language-tools.git#packages/component-type-helpers — не является валидной ссылкой на репозиторий, поскольку команда git ls-remote завершается с ошибкой «fatal: unable to update url base from redirection»6. git://github.com/feross/queue-microtask.git — не является валидной ссылкой на репозиторий, поскольку команда git ls-remote завершается с ошибкой «fatal: unable to connect to github.com» из-за отсутствия прав на этот репозиторий.Решение: следует использовать протокол https.
Коллеги, добрый день!С 17 по 19 сентября в Казани уже 6 раз пройдет международный форум Kazan Digital Week. В программе форума целый комплекс экспонентов и событий связаны с тематикой РБПО, и ключевым событием станет большой круглый стол «Безопасная и качественная разработка ПО: культура, конвейер, технологическая независимость» (18 сентября, прайм-тайм 14:00-15:45).Тема - максимально "горячая", а с учетом масштаба спикеров и запланированного объема освещения в прессе круглый стол обещает оказаться интереснейшим и полезным для всех нас событием. Участвуют:Арутюн Аветисян — директор, Институт системного программирования РАНИрина Гефнер — заместитель начальника 2 управления ФСТЭК РоссииДавид Мартиросов — старший вице-президент по коммерческим ИТ-продуктам, «Ростелеком»; генеральный директор, «Базис»Арсен Благов — генеральный директор, ИТ-экосистема «Лукоморье» (ООО «РТК ИТ плюс»), организатор трека и круглого столаАлексей Смирнов — генеральный директор и основатель, CodeScoringАртем Кострюков — генеральный директор, Test IT (Девелоника, кластер ГК Softline). Приглашаем участников РБПО-сообщества ФСТЭК России и ИСП РАН и ваших коллег, заинтересованных в вопросах выстраивания и конвейеризации процессов РБПО (в том числе в системах с ИИ), принять участие в круглом столе. Будет интересно!P. S. Ну и куда же без сюрприза? 🤗Круглый стол - "вишенка на торте" в комплексе мероприятий и демонстраций к которым в режиме максимального приоритета мы готовимся прямо сейчас! Анонсы и фактура будут в первый день форума - приходите увидеть лично.Ключевой день для первых лиц 18е сентября!

Уважаемые коллеги, добрый день! Предлагаем Вашему вниманию электронную версию тематической рубрики "Три кита РБПО". В этом номере материалы посвящены Динамическому анализу. Также в рубрике представлена заметка о ходе испытаний статических анализаторов исходного кода, проходящих под методическим и организационным руководством ФСТЭК России. Редакция благодарит авторов статей и компании, принявших участие в этом выпуске. Ссылка на материалы по РБПО: https://ib-bank.ru/rbposЖелаем Вам полезного и интересного чтения!
Методическая рекомендация № 2025-07-011 | Уровень критичности: 3Область: Инструментальный анализТип недостатка: Необоснованный выбор инструментов, в том числе инструментов статического анализа исходного кода, для выстраивания и выполнения процессов РБПО.Описание: В настоящий момент ФСТЭК России не предъявляет требования наличия сертификата соответствия к большинству типов инструментов анализа кода и архитектуры. При этом к инструментам предъявляются следующие требования:- инструменты должны быть открытыми, либо отечественной разработки, обеспечивающие реализацию требований ФСТЭК России и национальных стандартов- инструменты должны удовлетворять частным техническим требованиям, если они заданы ФСТЭК России (например, требованиям Методики ВУ и НДВ ФСТЭК России к статическим анализаторам исходного кода, написанного на ЯП высокого уровня) - инструменты должны позволять разработчикам выполнять рекомендации Центра исследований безопасности системного программного обеспечения Также при сертификации процессов безопасной разработки контролируется использование организацией инструмента (-ов) статического анализа, соответствующего требованиям ГОСТ Р 71207-2024.В указанном ГОСТ приведены как требованиям к методам статического анализа, так и алгоритм выбора и конфигурирования инструмента, алгоритм проверки соответствия инструмента требованиям ГОСТ, а также базовые численные критерии.В настоящий момент под патронажем ФСТЭК России проводятся публичные испытания статических анализаторов (для 6 ЯП). В рамках данных испытаний создаются как публичная база тестов, так и методология оценки соответствия инструментов требованиям ГОСТ. Данная методология будет являться опорной (либо - прототипом, для инструментов статического анализа иных ЯП) для проверки соответствия тех или иных инструментов статического анализа требованиям ГОСТ.Статические анализаторы, не выполняющие требования ГОСТ, не будут рассматриваться в качестве инструментов, использование которых позволяет выполнить требовани
Всем доброго дня! Уважаемые коллеги, подготовлено и опубликовано информационное сообщение по итогам этапа "Домашнее задание" испытаний статических анализаторов под патронажем ФСТЭК России. Ссылка на документ: https://ib-bank.ru/bisjournal/post/2508
Методическая рекомендация № 2025-07-010 | Уровень критичности: 3Область: Фаззинг-тестированиеТип недостатка: Применение средств фаззинг-тестирования, не реализующих генетические алгоритмы фаззинг-тестирования (в том числе за счет инструментирования тестируемого кода).Описание: На рис. 1-3 представлены протоколы сертификационных испытаний (4 уровень доверия) с применением инструментов (BurpSuite, OWASP ZAP, RestlerFuzz), не предназначенных для проведения фаззинг-тестирования с инструментированием кода и не реализующих генетические алгоритмы фаззинг-тестирования.Что такое генетические алгоритмы в фаззинге?Генетические алгоритмы в фаззинге применяются для автоматической генерации и оптимизации тестовых входных данных, на основе отобранных входных данных, которые максимизируют покрытие кода или вызывают аномальное поведение программы. Примеры популярных фаззеров, реализующих генетические алгоритмы фаззинг-тестирования: AFL++, libFuzzer, go-fuzz, SharpFuzz, JQF.Что такое фаззинг с инструментированием кода?Инструментирование кода – это процесс внедрения минимально возможных изменений в код программы для сбора информации о её выполнении. Может проводиться как до запуска программного обеспечения (статическое инструментирование, выполняется на этапе компиляции), так и во время выполнения исполняемого кода программного обеспечения (динамическое инструментирование, например с помощью Pin, Valgrind или DynamoRIO).BurpSuite, OWASP ZAP и подобные инструменты анализа уязвимостей и тестирования безопасности веб-приложений не подходят для мутационного фаззинга с инструментированием кода и реализации генетических алгоритмов тестирования. Данные инструменты выполняют сканирование на основе сигнатур и заранее определенных шаблонов атак (SQL-инъекции, XSS, CSRF). В состав данных инструментов входят базовые фаззеры для автоматизации тестирования веб-приложений методом подстановки значений из заранее заданных словарей (payloads). Функция Grep-Extract не осуществляет мутации полученных дан

Методическая рекомендация № 2025-07-010 (графические материалы)Методическая рекомендация № 2025-07-010 (графические материалы)