ФСТЭК утвердила обновлённую методику выявления уязвимостей и недекларированных возможностей в ПО
ФСТЭК России опубликовала новую методику выявления уязвимостей и недекларированных возможностей в программном обеспечении. Документ обязателен для разработчиков средств защиты информации и значимых объектов КИИ.
Федеральная служба по техническому и экспортному контролю утвердила обновлённую методику выявления уязвимостей и недекларированных возможностей (НДВ) в программном обеспечении. Подробности приводит RTM Group.
Что вошло в документ
- Расширены требования к статическому и динамическому анализу исходного кода.
- Добавлены сценарии тестирования компонентов с открытым исходным кодом.
- Закреплены подходы к фаззинг-тестированию и анализу сборочных цепочек.
Методика обязательна для лабораторий, проводящих сертификацию средств защиты информации, и рекомендована операторам значимых объектов КИИ при разработке собственного ПО. Документ соответствует приказу ФСТЭК № 76 и развивает практики безопасной разработки (SSDLC).
Влияние на рынок
Производителям СЗИ потребуется пересмотреть процессы DevSecOps, внедрить автоматизированные сканеры кода и обеспечить прозрачность цепочки поставки компонентов. Это повысит зрелость отечественной разработки, но увеличит трудоёмкость выпуска новых версий.