Вступ до аналізу безпеки програмного забезпечення. Лабораторна робота з СП. Робота № 101125

Вступ до аналізу безпеки програмного забезпечення

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Факультет:

КН

Кафедра:

Не вказано

Інформація про роботу

Рік:

2024

Тип роботи:

Лабораторна робота

Предмет:

СП

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» / Лабораторна робота №1 З дисципліни “Безпека програмного забезпечення” Тема: «Вступ до аналізу безпеки програмного забезпечення» Мета роботи: Ознайомитися з техніками аналізу безпеки програмного забезпечення. Виконання роботи 1. Які основні типи сканування забезпечуються Fortify on Demand? 1. Статичне тестування безпеки додатків (SAST) — Аналіз вихідного коду, байт-код або двійкового коду для виявлення вразливостей, без запуску програми. 2. Динамічне тестування безпеки додатків (DAST) — Оцінка запущених аплікацій з імітацією реальних атак для виявлення вразливостей в середовищі виконання. 3. Аналіз складу програмного забезпечення (SCA) — Виявлення та оцінка сторонніх компонентів та бібліотек з відкритим вихідним кодом, що використовуються в аплікації, перевіряючи їх на наявність відомих вразливостей. 4. Тестування безпеки мобільних додатків (Mobile AST) — Спеціальна перевірка, зосереджена на мобільних додатках на Android та iOS, для виявлення вразливостей і слабких місць у системі безпеки. 5. Інтерактивне тестування безпеки додатків (IAST) — Поєднує елементи SAST і DAST для оцінки додатків під час їхнього виконання, надаючи інформацію про вразливості в режимі реального часу. 6. Управління станом хмарної безпеки (CSPM) — Зосереджується на конфігураціях хмарної інфраструктури та дотриманні нормативних вимог, для забезпечення безпеки хмарних розгортань. 2. У чому різниця між типами сканування що забезпечуються Fortify on Demand та які переваги має кожен тип сканування? Тип тестування Визначення Переваги Статичне тестування безпеки (SAST) Аналіз програмного коду без запуску програми. 1. Виявлення потенційних вразливостей на ранніх етапах розробки. 2. Можливість автоматизації та інтеграції в процес розробки. 3. Низька кількість фальшивих спрацьовувань. Динамічне тестування безпеки (DAST) Аналіз програмного додатку під час його роботи. 1. Здатність виявлення реальних вразливостей, які можуть бути використані зловмисниками. 2. Можливість тестування продукту на великій кількості конфігурацій. 3. Простота встановлення і використання. Аналіз складу програмного забезпечення (SCA) Пошук вразливостей у сторонніх компонентах програми. 1. Виявлення вразливостей у використовуваних бібліотеках і залежностях. 2. Підтримка дотримання ліцензійних вимог. 3. Можливість автоматичного виявлення оновлень. Тестування безпеки мобільних додатків (Mobile AST) Аналіз безпеки мобільних додатків на платформах iOS та Android. 1. Виявлення специфічних вразливостей для мобільних додатків, таких як обробка даних геолокації, використання камери і т. д. 2. Тестування на реальних мобільних пристроях. 3. Підтримка автоматизованого UI тестування. Інтерактивне тестування безпеки додатків (IAST) Поєднує в собі елементи SAST та DAST, аналізуючи програмний код та взаємодію додатку з системою. 1. Виявлення вразливостей в реальному часі під час роботи програми. 2. Зменшення кількості фальшивих спрацьовувань в порівнянні з SAST. 3. Здатність виявляти вразливості в тих частинах програми, які не включені до тестового покриття DAST. Управління станом хмарної безпеки (CSPM) Виявлення та моніторинг вразливостей у хмарних обчисленнях та послугах. 1. Забезпечення безпеки хмарних інфраструктур та додатків. 2. Виявлення зловмисних атак та неавторизованих доступів до хмарних ресурсів. 3. Підтримка забезпечення відповідності вимогам безпеки. 3. У якій послідовності ви б пропонували проводити кожен з типів сканувань та чому? 1. Статичне тестування безпеки додатків (SAST): на ранніх стадіях розробки коду (або в конвеєрі CI/CD), щоб виявити вразливості на рівні коду. 2. Аналіз складу програмного забезпечення (SCA): після SAST перевірити сторонні компоненти та бібліотеки з відкритим кодом на наявність вразливостей, щоб зменшити ризики ланцюжка постачання. 3. Динамічне тестування безпеки додатків (DAST): тестування в тестовому середовищі після розгортання, щоб виявити вразливості під час виконання та усунути їх. 4. Інтерактивне тестування безпеки додатків (IAST): інтегрувати IAST під час виконання разом з SAST і DAST для виявлення вразливостей в режимі реального часу. 5. Тестування безпеки мобільних додатків (Mobile AST): Для мобільних компонентів виконуйте Mobile AST після DAST і SCA, але до або разом з IAST. 6. Управління станом безпеки в хмарі (CSPM): при використанні хмарної інфраструктури виконати це сканування після DAST і SCA, але перед продакшеном, щоб забезпечити безпеку конфігурацій. Висновки Під час виконання даної лабораторної роботи я ознайомився з техніками аналізу безпеки програмного забезпечення.

Лабораторна робота СП

kakaduka

08.04.2025 12:04-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись