.<!DOCTYPE html>
<html lang="ru">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>AppChecker — инструмент статического анализа</title>

<style>
:root{
  --bg:#f8fafc;
  --text:#0f172a;

  --brand:#e11d48;
  --brand2:#f59e0b;

  --link:#be123c;

  --card:#ffffff;
  --border: rgba(0,0,0,0.06);
  --shadow: 0 20px 60px rgba(0,0,0,0.12);
  --radius: 20px;
}

body{
  margin:0;
  font-family: Arial, sans-serif;
  background:
    radial-gradient(900px 500px at 10% 10%, rgba(225,29,72,0.12), transparent 60%),
    radial-gradient(900px 500px at 90% 10%, rgba(245,158,11,0.12), transparent 60%),
    var(--bg);
  color:var(--text);
}

/* header с полосками */
header{
  text-align:center;
  padding:26px 0 22px;
  font-size:25px;
  font-weight:900;
  color:white;
  background:
    repeating-linear-gradient(
      90deg,
      rgba(255,255,255,0.08),
      rgba(255,255,255,0.08) 20px,
      transparent 20px,
      transparent 40px
    ),
    linear-gradient(135deg,var(--brand),var(--brand2));
  box-shadow:var(--shadow);
}

/* font panel */
.font-panel{
  position:fixed;
  right:14px;
  bottom:14px;
  display:flex;
  gap:6px;
  background:white;
  padding:6px;
  border-radius:12px;
  box-shadow:var(--shadow);
  z-index:9999;
}

.font-panel button{
  border:none;
  padding:8px 12px;
  font-size:14px;
  font-weight:bold;
  color:white;
  background:linear-gradient(135deg,var(--brand),var(--brand2));
  border-radius:8px;
  cursor:pointer;
}

.font-panel .close-btn{
  background:none;
  color:black;
  font-size:18px;
}

/* layout */
.wrapper{
  max-width:860px;
  margin:34px auto;
  padding:0 14px;
}

.card{
  background:var(--card);
  border-radius:var(--radius);
  box-shadow:var(--shadow);
  border:1px solid var(--border);
  overflow:hidden;
  position:relative;
}

/* декоративная линия */
.card::before{
  content:"";
  display:block;
  height:10px;
  background:
    linear-gradient(90deg,
      var(--brand),
      var(--brand2),
      var(--brand)
    );
}

.media{
  padding:24px 22px 0;
  text-align:center;
}

.media img{
  max-width:100%;
  border-radius:14px;
  box-shadow:0 14px 32px rgba(0,0,0,0.1);
}

.content{
  padding:26px;
  font-size:18px;
  line-height:1.95;
}

.content p{
  margin-bottom:14px;
}

a{
  color:var(--link);
  font-weight:bold;
  text-decoration:none;
}

a:hover{
  text-decoration:underline;
}

/* footer */
footer{
  margin-top:30px;
  padding:26px 0;
  text-align:center;
  font-size:13px;
  color:#475569;
}

.legal{
  max-width:860px;
  margin:auto;
  padding:0 16px;
  line-height:1.75;
}

.legal strong{
  color:#111;
}

/* mobile */
@media(max-width:768px){
  body{padding-bottom:100px;}
  .content{font-size:17px;}
}

@media(max-width:480px){
  .content{font-size:16px;}
}

</style>

<link rel="canonical" href="https://belamador.by/76725.html">
<meta name="description" content="AppChecker — инструмент статического анализа">
<meta property="og:title" content="AppChecker — инструмент статического анализа">
<meta property="og:description" content="AppChecker — инструмент статического анализа">
<meta property="og:url" content="https://belamador.by/76725.html">
<link rel="icon" href="/favicon.ico" type="image/x-icon">

</head>

<body>


<div class="font-panel">

<button onclick="adjustFont(-1)">A−</button>
<button onclick="adjustFont(1)">A+</button>
<button class="close-btn" onclick="hidePanel()">×</button>

</div>


<header>

AppChecker — инструмент статического анализа

</header>


<main>

<div class="wrapper">

<div class="card">

<div class="media">

<img src="play.jpg" loading="lazy">

</div>


<article class="content" id="textContent">

<h1>AppChecker — инструмент статического анализа</h1>
<p>В настоящее время информационные технологии проникли практически во все сферы ведения бизнеса. Для решения бизнес-задач создаются крупные, распределенные, постоянно модифицируемые информационные системы с тенденцией к усложнению. Они могут иметь в своем составе как готовые решения, так и внешние IT-сервисы (SaaS), собственные и заказные разработки, бесплатные продукты с открытым исходным кодом (open source). Проблемы в их работе приводят к нарушению информационной безопасности, а как следствие, к финансовым и репутационным потерям бизнеса. По данным исследования [9], последние четыре года финансовые потери бизнеса растут из-за кибератак. Повышение сложности используемых программных комплексов, их включение в контур систем управления государством и производством промышленной продукции требуют постоянного совершенствования методов тестирования, испытаний и контроля программного обеспечения.</p>
<p>Большинство методов анализа ПО, применяемого в аудите безопасности программных систем, можно разделить на две группы (рис. 1) &#8212; динамические методы (функциональное тестирование) и статические методы (структурное тестирование).</p>
<p><strong>Рис. 1. Примерная классификация видов анализа программ (цветом выделены те виды анализа, о которых говорится в данной статье)</strong></p>
<p>Динамический анализ представляет собой совокупность всех методов анализа программного обеспечения, реализуемых с помощью программ на реальном или виртуальном процессоре. Такие способы наиболее востребованы при исследовании программ методом «черного ящика» (black box), когда имеется доступ лишь к внешним интерфейсам программного обеспечения без учета их структуры, внутренних интерфейсов и состояния [5]. Этот подход не всегда эффективен при поиске ошибок, связанных с комбинациями редко используемых входных данных, а также при выявлении скрытого программного функционала (программных закладок), внесенного туда преднамеренно.</p>
<p>Для своей работы статический анализ не требует реализации програм­много кода и допускает полную или частичную автоматизацию процесса, но предполагает доступ не только к загрузочным и объектным модулям, но и к исходным текстам программной системы, к информации, связанной со средой компиляции и выполнением программных компонентов [3–5].</p>
<p>В соответствии с вышеизложенным для одновременного решения задач выявления случайных дефектов кода и программных закладок предлагается использовать методы статического анализа.</p>
<h2>Методы статического анализа кода</h2>
<p>Статический анализ исходных текстов программного обеспечения тесно связан с принципами работы компиляторов. Многие подходы такого анализа основаны на некоторых элементах компиляции, в частности, промежуточное представление исходных текстов в статических анализаторах эволюционирует совместно с развитием теории компиляторов. Современные методы анализа в целях унификации алгоритмов используют различные модели представления кода, например лексический разбор, синтаксическое дерево, дерево Канторовича, графы потока данных и управления и т. д. [1].</p>
<p>Подход, получивший название сигнатурного анализа, подразумевает поиск дефектов в программном коде путем сопоставления фрагментов кода с образцами из базы данных шаблонов (сигнатур) дефектов безопасности. В зависимости от технологии, применяемой при сопоставлении фрагмента кода и шаблона, а также от промежуточного представления, могут использоваться как обычные алгоритмы поиска подстроки в строке, так и регулярные выражения, специальные языки запросов по структурированной информации, в частности XQuery для XML, или специально разработанные для этой задачи способы сопоставления. В [2] приведены примеры правил формирования сигнатур ошибок, соответствующих стандарту CWE. Признакам потенциально опасных конструкций в программных системах и методам оценки их безопасности посвящены статьи 6, 7].</p>
<p>Самый простой способ поиска потенциально опасных конструкций — применение регулярных выражений. Этот вариант достаточно прост в реализации (легко добавляются новые шаблоны уязвимостей), однако имеет несколько критических недостатков. В первую очередь к ним относится невозможность создать шаблоны для сложных дефектов, причем даже для простых дефектов кода регулярное выражение может занимать очень много места, а также очень низкая скорость поиска.</p>
<p>Более эффективным считается построение промежуточного представления кода и его анализ. Именно такой способ используется почти во всех современных анализаторах кода. Общее представление структуры статического анализатора показано на рис. 2.</p>
<p><strong>Рис. 2. Структура статического анализатора</strong></p>
<p>На начальном этапе решение задачи анализа исходного кода напоминает действия компилятора либо интерпретатора (в случае динамического языка). Исходные тексты разбиваются на лексемы, на основании которых впоследствии строится абстрактное синтаксическое дерево (Abstract syntax tree — AST) и в дальнейшем семантический граф (Abstract semantic graph — ASG). Далее AST и ASG анализируются механизмом, подобным поиску регулярных выражений в тексте, либо используются скрипты для анализа. Помимо этого, анализ графов выполнения и потоков данных (Data Flow analysis) может дать полезную информацию.</p>
<h2>Примеры дефектов кода</h2>
<p>Самые распространенные виды дефектов кода — ошибки программирования и злонамеренно внесенный код. Следует заметить, что не всякая ошибка программирования приводит к возникновению уязвимости, а только те, в результате эксплуатации которых страдают защищенность, целостность и доступность данных. Злонамеренно внесенный код, как правило, позволяет получить несанкционированный доступ к системе, но бывают и другие типы дефектов, приводящие, например, к удаленному выполнению кода, сбору и отправке конфиденциальной информации либо к реализации несанкционированных действий при наступлении определенного момента времени (time bomb).</p>
<p>К наиболее известным и опасным уязвимостям нужно отнести уязвимости следующих видов:</p>
<ul>
  <li>отсутствие проверки вводимых данных — может привести к реализации SQL-инъекций, инъекций кода, межсайтового скриптинга, обхода каталогов;</li>
  <li>ошибки работы с памятью — переполнение буфера, необнуленные указатели;</li>
  <li>ошибки реализации системы безопасности — позволяют эксплуатировать давно известные «закрытые» уязвимости.</li>
</ul>
<h2>Отсутствие проверки вводимых данных</h2>
<p>Уязвимость появляется, если не производится проверка данных, поступивших из поля ручного ввода данных; от пользователя ожидается простая информация, например имя, email, текст короткого сообщения. Если при этом в поле ввода дописать код специально сформированной команды SQL или Javascript, то данный код будет выполнен. Например:</p>
<p>Если в поле ввода, из которого берется параметр $name, ввести «vasia&#8217;; drop table &#8216;users», то таблица users будет удалена, что приведет к потере работоспособности системы. Для предотвращения такого сценария выполнения необходимо использовать безопасный для SQL-инъекции код:</p>
<p><em>$stmt = prepare_query(&#171;SELECT * FROM users WHERE username =?&#187;);</em></p>
<p>В данном примере каждый параметр передается через отдельный метод bind_param, который и осуществляет фильтрацию специальных символов и ключевых слов.</p>
<h2>Ошибки работы с памятью</h2>
<p>Чаще всего встречаются ошибки, приводящие к переполнению буфера. Они, как правило, возникают в программах на языках C и C++. Если программа получает данные извне и копирует их во внутренний буфер без проверки размера копируемой области памяти, то при получении достаточно большого объема сведений происходит запись передаваемых данных на место адреса возврата и данных других процедур в области памяти стека. Эта ошибка может быть использована злоумышленником, который подставит нужное значение на место адреса возврата таким образом, чтобы в процессе возврата из подпрограммы переход осуществлялся вовнутрь той же перезаписанной области данных, где можно разместить вредоносный код. Пример уязвимого кода:</p>
<p><em>int main(int argc, char *argv[]) <div style='margin-top:2em; display:flex; flex-wrap:wrap; gap:10px'><a href='/32211.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/87366.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/31445.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/26645.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/83246.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/56941.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/28921.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/66970.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/29421.html' style='text-decoration:none;font-size:1.5em'>📎</a><a href='/63115.html' style='text-decoration:none;font-size:1.5em'>📎</a></div><script type="application/ld+json">{
    "@context": "https:\/\/schema.org",
    "@type": "Article",
    "headline": "AppChecker — инструмент статического анализа",
    "url": "\/76725.html",
    "publisher": {
        "@type": "Organization",
        "name": "site"
    }
}</script>

</article>


</div>

</div>

</main>


<footer>

<div class="legal">

<p><strong>Отказ от ответственности.</strong> Материалы на сайте публикуются пользователями. Администрация не несёт ответственности за размещённый контент и его содержание.</p>

<p>Если вы считаете, что какой-либо материал размещён неправильно, сообщите об этом. После проверки публикация будет удалена либо отредактирована.</p>

</div>

</footer>


<script>

let currentFontSize=18;

function adjustFont(change){

const content=document.getElementById("textContent");

currentFontSize+=change;

if(currentFontSize<14) currentFontSize=14;
if(currentFontSize>36) currentFontSize=36;

content.style.fontSize=currentFontSize+"px";

}

function hidePanel(){

document.querySelector(".font-panel").style.display="none";

}

</script>


</body>
</html>