Представлен новый метод повышения безопасности ПО на стадии разработки

Представлен новый метод повышения безопасности ПО на стадии разработки

Исследователи модифицировали библиотеку PyCrypto таким образом, чтобы заранее выявлять проблемы и предоставлять рекомендации по их исправлению.

Объединенная команда исследователей из нескольких университетов Германии сообщила в рамках симпозиума по кибербезопасности USENIX об эффективности предупреждений, уведомляющих разработчиков ПО о небезопасных техниках написания кода.

В представленном на конференции документе эксперты описали метод модификации криптографической библиотеки Python. Измененная версия предоставляет разработчикам рекомендации по созданию более безопасного кода.

Большое количество уязвимостей в программном обеспечении появляется из-за разработчиков, которые неправильно используют API безопасности, связанные с защищенными сетевыми подключениями, разрешениями на мобильные приложения и криптографическими API, отметили специалисты. В то же время не существует эффективных инструментов, помогающих разработчикам в создании безопасного ПО.

Вместо альтернативных подходов, таких как упрощение библиотек безопасности или добавление помощи через плагины IDE (Integrated Development Environment), требующих изменений в интерфейсах программирования и устойчивой разработки плагинов для нескольких IDE, исследователи модифицировали библиотеку PyCrypto таким образом, чтобы заранее выявлять проблемы и предоставлять рекомендации по их исправлению.

Модифицированная версия PyCrypto перехватывает вызовы API, сигнализирующие о создании слабых криптографических объектов, таких как Crypto.Cipher.ARC2.new (), которые полагаются на небезопасный алгоритм ARC2. Когда такие объекты создаются, измененная библиотека отображает соответствующее предупреждение.

Данный подход показал свою эффективность и в настоящее время ведется дальнейшая работа по усовершенствованию метода.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.