.<!DOCTYPE html>
<html lang="ru">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Обзор методов статического анализа исходного кода для поиска уязвимостей</title>

<style>
:root{
  --bg:#f8fafc;
  --text:#0f172a;

  --brand:#e11d48;
  --brand2:#f59e0b;

  --link:#be123c;

  --card:#ffffff;
  --border: rgba(0,0,0,0.06);
  --shadow: 0 20px 60px rgba(0,0,0,0.12);
  --radius: 20px;
}

body{
  margin:0;
  font-family: Arial, sans-serif;
  background:
    radial-gradient(900px 500px at 10% 10%, rgba(225,29,72,0.12), transparent 60%),
    radial-gradient(900px 500px at 90% 10%, rgba(245,158,11,0.12), transparent 60%),
    var(--bg);
  color:var(--text);
}

/* header с полосками */
header{
  text-align:center;
  padding:26px 0 22px;
  font-size:25px;
  font-weight:900;
  color:white;
  background:
    repeating-linear-gradient(
      90deg,
      rgba(255,255,255,0.08),
      rgba(255,255,255,0.08) 20px,
      transparent 20px,
      transparent 40px
    ),
    linear-gradient(135deg,var(--brand),var(--brand2));
  box-shadow:var(--shadow);
}

/* font panel */
.font-panel{
  position:fixed;
  right:14px;
  bottom:14px;
  display:flex;
  gap:6px;
  background:white;
  padding:6px;
  border-radius:12px;
  box-shadow:var(--shadow);
  z-index:9999;
}

.font-panel button{
  border:none;
  padding:8px 12px;
  font-size:14px;
  font-weight:bold;
  color:white;
  background:linear-gradient(135deg,var(--brand),var(--brand2));
  border-radius:8px;
  cursor:pointer;
}

.font-panel .close-btn{
  background:none;
  color:black;
  font-size:18px;
}

/* layout */
.wrapper{
  max-width:860px;
  margin:34px auto;
  padding:0 14px;
}

.card{
  background:var(--card);
  border-radius:var(--radius);
  box-shadow:var(--shadow);
  border:1px solid var(--border);
  overflow:hidden;
  position:relative;
}

/* декоративная линия */
.card::before{
  content:"";
  display:block;
  height:10px;
  background:
    linear-gradient(90deg,
      var(--brand),
      var(--brand2),
      var(--brand)
    );
}

.media{
  padding:24px 22px 0;
  text-align:center;
}

.media img{
  max-width:100%;
  border-radius:14px;
  box-shadow:0 14px 32px rgba(0,0,0,0.1);
}

.content{
  padding:26px;
  font-size:18px;
  line-height:1.95;
}

.content p{
  margin-bottom:14px;
}

a{
  color:var(--link);
  font-weight:bold;
  text-decoration:none;
}

a:hover{
  text-decoration:underline;
}

/* footer */
footer{
  margin-top:30px;
  padding:26px 0;
  text-align:center;
  font-size:13px;
  color:#475569;
}

.legal{
  max-width:860px;
  margin:auto;
  padding:0 16px;
  line-height:1.75;
}

.legal strong{
  color:#111;
}

/* mobile */
@media(max-width:768px){
  body{padding-bottom:100px;}
  .content{font-size:17px;}
}

@media(max-width:480px){
  .content{font-size:16px;}
}

</style>

<link rel="canonical" href="https://belamador.by/41511.html">
<meta name="description" content="Обзор методов статического анализа исходного кода для поиска уязвимостей">
<meta property="og:title" content="Обзор методов статического анализа исходного кода для поиска уязвимостей">
<meta property="og:description" content="Обзор методов статического анализа исходного кода для поиска уязвимостей">
<meta property="og:url" content="https://belamador.by/41511.html">
<link rel="icon" href="/favicon.ico" type="image/x-icon">

</head>

<body>


<div class="font-panel">

<button onclick="adjustFont(-1)">A−</button>
<button onclick="adjustFont(1)">A+</button>
<button class="close-btn" onclick="hidePanel()">×</button>

</div>


<header>

Обзор методов статического анализа исходного кода для поиска уязвимостей

</header>


<main>

<div class="wrapper">

<div class="card">

<div class="media">

<img src="play.jpg" loading="lazy">

</div>


<article class="content" id="textContent">

<h1>Обзор методов статического анализа исходного кода для поиска уязвимостей</h1>
<h2>Обзор методов статического анализа исходного кода для поиска уязвимостей</h2>
<h1>Обзор методов статического анализа исходного кода для поиска уязвимостей</h1>
<p>При статическом анализе кода происходит анализ программы без ее реального исполнения, а при динамическом анализе – в процессе исполнения. В большинстве случаев под статическим анализом подразумевают анализ, осуществляемый с помощью автоматизированных инструментов исходного или исполняемого кода.</p>
<p>Исторически первые инструменты статического анализа (часто в их названии используется слово lint) применялись для нахождения простейших дефектов программы. Они использовали простой поиск по сигнатурам, то есть обнаруживали совпадения с имеющимися сигнатурами в базе проверок. Они применяются до сих пор и позволяют определять "подозрительные" конструкции в коде, которые могут вызвать падение программы при выполнении.</p>
<p>Недостатков у такого метода немало. Основным является то, что множество "подозрительных" конструкций в коде не всегда являются дефектами. В большинстве случаев такой код может быть синтаксически правильным и работать корректно. Соотношение "шума" к реальным дефектам может достигать 100:1 на больших проектах. Таким образом, разработчику приходится тратить много времени на его отсеивание от реальных дефектов, что отменяет плюсы автоматизированного поиска.</p>
<p>Несмотря на очевидные недостатки, такие простые утилиты для поиска уязвимостей до сих пор используются. Обычно они распространяются бесплатно, так как коммерческого применения они, по понятным причинам, не получили.</p>
<p>Второе поколение инструментов статического анализа в дополнение к простому поиску совпадений по шаблонам оснащено технологиями анализа, которые до этого применялись в компиляторах для оптимизации программ. Эти методы позволяли по анализу исходного кода составлять графы потока управления и потока данных, которые представляют собой модель выполнения программы и модель зависимостей одних переменных от других. Имея данные, графы можно моделировать, определяя, как будет выполняться программа (по какому пути и с какими данными).</p>
<p>Поскольку программа состоит из множества функций, процедур модулей, которые могут зависеть друг от друга, недостаточно анализировать каждый файл по отдельности. Для полноценного межпроцедурного анализа необходимы все файлы программы и зависимости.</p>
<p>Основным достоинством этого типа анализаторов является меньше количество "шума" за счет частичного моделирования выполнения программ и возможность обнаружения более сложных дефектов.</p>
<h2>Процесс поиска уязвимостей в действии</h2>
<p>Для иллюстрации приведем процесс поиска уязвимостей инъекции кода и SQL-инъекции (рис. 1). </p>
<p>Для их обнаружения находятся места в программе, откуда поступают недоверенные данные (рис. 2), например, запрос протокола HTTP. </p>
<p>На листинге (рис. 1) 1 на строке 5 данные получаются из HTTP запроса, который поступает от пользователей при запросе Web-страницы. Например, при запросе страницы “http://example.com/main?name =‘ or 1=‘1”. Строка or 1=‘1 попадает в переменную data из объекта request, который содержит HTTP-запрос. </p>
<p>Дальше на строке 10 идет вызов функции Process с аргументом data, которая обрабатывает полученную строку. На строке 12 – конкатенация полученной строки data и запроса к базе данных, уже на строке 15 происходит вызов функции запроса к базе данных c результирующим запросом. В результате данных манипуляции получается запрос к базе данных вида: select * from users where name=‘’ or ‘1’=‘1’.</p>
<p>Что означает выбрать из таблицы всех пользователей, а не пользователя с определенным именем. Это не является стандартным функционалом и влечет нарушение конфиденциальности, что соответственно означает уязвимость. В результате потенциальный злоумышленник может получить информацию о всех пользователях, а не только о конкретном. Также он может получить данные из других таблиц, например содержащих пароли и другие критичные данные. А в некоторых случаях – исполнить свой вредоносный код.</p>
<p>Статические анализаторы работают похожим образом: помечают данные, которые поступают из недоверенного источника, отслеживаются все манипуляции с данными и пытаются определить, попадают ли данные в критичные функции. Под критичными функциями обычно подразумеваются функции, которые исполняют код, делают запросы к БД, обрабатывают XML-документы, осуществляют доступ к файлам и др., в которых изменение параметра функции может нанести ущерб конфиденциальности, целостности и доступности.</p>
<p>Также возможна обратная ситуация, когда из доверенного источника, например переменных окружения, критичных таблиц базы данных, критичных файлов, данные поступают в недоверенный источник, например генерируемую HTML-страницу. Это может означать потенциальную утечку критичной информации.</p>
<p>Одним из недостатков такого анализа является сложность определения на пути выполнения программ функций, которые осуществляют фильтрацию или валидацию значений. Поэтому большинство анализаторов включает набор стандартных системных функций фильтрации для языка и возможность задания таких функций самостоятельно.</p>
<h2>Автоматизированный поиск уязвимостей</h2>
<p>Достаточно сложно достоверно определить автоматизированными методами наличие закладок в ПО, поскольку необходимо понимать, какие функции выполняет определенный участок программы и являются ли они необходимыми программе, а не внедрены для обхода доступа к ресурсам системы. Но можно найти закладки по определенным признакам (рис. 3). Например, доступ к системе при помощи сравнения данных для авторизации или аутентификации с предопределенными значениями, а не использование стандартных механизмов авторизации или аутентификации. Найти данные признаки можно с помощью простого сигнатурного метода, но анализ потоков данных позволяет более точно определять предопределенные значения в программе, отслеживая, откуда поступило значение, динамически из базы данных или он было "зашито" в программе, что повышает точность анализа. </p>
<p>Нет общего мнения по поводу обязательного функционала третьего поколения инструментов статического анализа. Некоторые вендоры предлагают более тесную интеграцию в процесс разработки, использование SMT-решателей для точного определения пути выполнения программы в зависимости от данных.</p>
<p>Также есть тенденция добавления гибридного анализа, то есть совмещенных функций статического и динамического анализов. У данного подхода есть несомненные плюсы: например, можно проверять существование уязвимости, найденной с помощью статического анализа путем эксплуатации этой уязвимости. Недостатком такого подхода может быть следующая ситуация. В случае ошибочной корреляции места, где не было доказано уязвимостей с помощью динамического анализа, возможно появление ложноотрицательного результата. Другими словами, уязвимость есть, но анализатор ее не находит.</p>
<p>Если говорить о результатах анализа, то для оценки работы статического анализатора используется, как и в статистике, разделение результата анализа на положительный, отрицательный, ложноотрицатель-ный (дефект есть, но анализатор его не находит) и ложнопо-ложительный (дефекта нет, но анализатор его находит).</p>
<p>Для реализации эффективного процесса устранения дефектов важно отношение количества истинно найденных ко всем найденным дефектам. Данное отношение называют точностью. При небольшой точности получается большое соотношение истинных дефектов к ложноположительным, что так же, как и в ситуации с большим количеством шума, требует от разработчиков много времени на анализ результатов и фактически нивелирует плюсы автоматизированного анализа кода.</p>
<p>Для поиска уязвимостей особенно важно отношение найденных истинных уязвимостей ко всем найденным, поскольку данное отношение и принято считать полнотой. Ненайденные уязвимости опаснее ложнопо-ложительного результата, так как могут нести прямой ущерб бизнесу.</p>
<p>Достаточно сложно в одном решении сочетать хорошую полноту и точность анализа. Инструменты первого поколения, работающие по простому совпадению шаблонов, могут показывать хорошую полноту анализа, но при этом низкую точность из-за ограничения технологий. Благодаря тому что второе поколение анализаторов может определять зависимости и пути выполнения программы, обеспечивается более высокая точность анализа при такой же полноте.</p>
<p>Несмотря на то что развитие технологий происходит непрерывно, автоматизированные инструменты до сих пор не заменяют полностью ручной аудит кода. Такие категории дефектов, как логические, архитектурные уязвимости и проблемы с производительностью, могут быть обнаружены только экспертом. Однако инструменты работают быстрее, позволяют автоматизировать процесс и стоят дешевле, чем работа аудитора. При внедрении статического анализа кода можно использовать ручной аудит для первичной оценки, поскольку это позволяет обнаруживать серьезные проблемы с архитектурой. Автоматизированные же инструменты должны применяться для быстрого исправления дефектов. Например, при появлении новой версии ПО.</p>
<p>Существует множество решений для статического анализа исходного кода. Выбор продукта зависит от поставленных задач. Если необходимо повысить качество кода, то вполне можно использовать анализаторы первого поколения, использующие поиск по шаблонам. В случае когда нужно найти уязвимости в ходе реализации цикла безопасной разработки, логично использовать инструменты, использующие анализ потока данных. Ну а если опыт внедрения средств статического и динамического анализа уже имеется, можно попробовать средства, использующие гибридный анализ.</p><div style='margin-top:2em; display:flex; flex-wrap:wrap; gap:10px'><a href='/9826.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/30789.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/29160.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/7225.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/33433.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/64.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/2189.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/41217.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/11937.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/26644.html' style='text-decoration:none;font-size:1.5em'>📎</a></div><script type="application/ld+json">{
    "@context": "https:\/\/schema.org",
    "@type": "Article",
    "headline": "Обзор методов статического анализа исходного кода для поиска уязвимостей",
    "url": "\/41511.html",
    "publisher": {
        "@type": "Organization",
        "name": "site"
    }
}</script>

</article>


</div>

</div>

</main>


<footer>

<div class="legal">

<p><strong>Отказ от ответственности.</strong> Материалы на сайте публикуются пользователями. Администрация не несёт ответственности за размещённый контент и его содержание.</p>

<p>Если вы считаете, что какой-либо материал размещён неправильно, сообщите об этом. После проверки публикация будет удалена либо отредактирована.</p>

</div>

</footer>


<script>

let currentFontSize=18;

function adjustFont(change){

const content=document.getElementById("textContent");

currentFontSize+=change;

if(currentFontSize<14) currentFontSize=14;
if(currentFontSize>36) currentFontSize=36;

content.style.fontSize=currentFontSize+"px";

}

function hidePanel(){

document.querySelector(".font-panel").style.display="none";

}

</script>


</body>
</html>