Рабочий
Программный
2023 / 2024
1931 Анализ sast решений
Старт
17.06.2024
Представление
05.11.2024 – 15.11.2024
Постерная сессия
27.01.2025 – 07.02.2025
Защита
14.04.2025 – 25.04.2025
Паспорт проекта
Аннотация
Проект носит программный характер и направлен на разработку решения в части проверки качества SAST анализаторов кода, предназначенных, в свою очередь, для поиска уязвимостей конкретного программного обеспечения и контроля его безопасности. В результате работы над проектом предполагается разработка комплекса тестов для проверки возможностей указанных анализаторов и проведение экспериментов по сравнению количества найденных ими уязвимостей.
Отрасль
Информатика
Теги
Информатика
Цель
1. Создать тестирующий SAST анализаторы код (под кодом подразумевается python и java скрипты, содержащие уязвимости, которые должен найти анализатор уязвимостей SAST )
2. Протестировать им несколько SAST решений (Например, Snyk,Semgrep,Fortify)
3. Сделать отчёт о сравнении этих SAST решений и количестве найденных уязвимостей
Ожидаемые результаты
- В ходе реализации проекта предполагается разработка тестов для анализа SAST решений по поиску уязвимостей, включая XSS, SQL, SSRF, RACE CONDITION, TRAVERSAL, REDIRECT, небезопасные Cookie, CRLF, Deserialize, OS INJECTION, CSRF. Предусмотрена автоматическая процедура реализации разработанных тестов и формирование итогового отчета.
Форма и способы промежуточного контроля
1. Процедура написания тестов отслеживается в реальном времени на GitHub
2. Периодически генерируются отчёт о добавленных и найденных анализаторами уязвимостях
3. Регулярный, не реже раза в 2 недели отчет руководителю о проделанной работе
Форма представления результатов
Отчет о проделанной работе, включающий
- описание алгоритма и его программной реализации,
- файлы с уязвимым кодом, которые проверяли SAST анализаторы,
- результаты эксперимента - отчёт о сравнение SAST анализаторов,
- демонстрацию эксплуатации уязвимостей
Ресурсное обеспечение
Не требуется
Имеющийся задел
Разработан детальный план работы, выбран язык программирования, составлена блок-схема алгоритма
Заказчик
МИЭМ / ДПМ