Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024)

ГОСТ Р 71207-2024 "Статический анализ кода" выделят класс дефектов в коде, называемых критическими ошибками. При разработке безопасного программного обеспечения (РБПО) такие дефекты должны в обязательном порядке выявляться и исправляться в приоритетном режиме. Статический анализатор PVS-Studio разрабатывается с учётом этого стандарта и позволяет выявлять все типы критических ошибок в коде программ, написанных на языках C, C++, C#, Java. Рассмотрим эти типы предупреждений и как их можно выделить среди других предупреждений, выдаваемых анализатором.

https://habr.com/ru/companies/pvs-studio/articles/919456/

#pvsstudio #статический_анализ_кода #фстэк #гост_р_712072024 #C #C++ #c# #java #рбпо #программирование

Оценка киберугроз по стандартам ФСТЭК: комплексный подход к защите данных

ФСТЭК России разработала методику оценки угроз информационной безопасности, которая позволяет организациям выявлять, анализировать и минимизировать киберриски.

https://habr.com/ru/articles/911474/

#фстэк #кибербезопасность

Эффективная защита Linux: использование Ansible для соблюдения рекомендаций ФСТЭК России

25 декабря 2022 года ФСТЭК России выпустила рекомендации по безопасной настройке операционных систем Linux. Сейчас эти рекомендации являются обязательными для государственных информационных систем и критической информационной инфраструктуры (КИИ), работающих на Linux. Для упрощения соблюдения этих рекомендаций и автоматизации настройки систем можно использовать Ansible. Этот инструмент позволяет массово развертывать конфигурации, что значительно снижает вероятность ошибок при ручном вводе. В статье рассмотрим готовые плейбуки на основе Ansible для RHEL-подобных систем, а также способы их адаптации для других ОС.

https://habr.com/ru/companies/ussc/articles/905368/

#ansible #автоматизация_иб #фстэк #настройка_linux #кии #yaml #информационные_системы #киберугрозы #плейбук #rhel

hex-атака: как изящно обойти закрытый буфер обмена, потоковый AV и другие защитные механизмы удаленных рабочих мест

Привет, Хабр! Меня зовут Марат Сафин, я эксперт по безопасности КИИ и АСУТП в К2 Кибербезопасность. Более восьми лет занимаюсь кибербезом с упором на защиту промышленных объектов и АСУТП. До этого пять лет внедрял и обеспечивал функционирование самих АСУТП. Сегодня расскажу о любопытной дыре в защите удаленных рабочих мест, которую я, можно сказать, вывел сначала гипотетически, а потом доказал. Помните, как всех сотрудников в пандемию срочно переводили на удаленку и пытались в безопасность, начиная, конечно же, с закрытия буфера обмена? Так вот, оказывается, и закрытый буфер обмена, и другие средства защиты можно обойти одним весьма простым способом. Суть в том, что любой файл можно передать куда угодно, просто... набрав его на клавиатуре. Звучит безумно? Давайте разберем, как это работает, докажем работоспособность концепции, и, конечно, поговорим, как от этого защититься.

https://habr.com/ru/companies/k2tech/articles/903984/

#защита_информации #буфер_обмена #уязвимость #hexредактор #hex #угроза #фстэк #утечка_информации #средства_защиты_информации #антивирусы

Сертификация ФСТЭК: как мы перестали бояться и полюбили процесс

Знаете, как обычно проходит первая встреча с сертификацией ФСТЭК? Примерно как встреча с медведем в лесу. Все знают, что он где-то есть, все слышали истории о том, как другие его видели, но пока не столкнешься сам — не поймешь масштаба. В какой-то момент нам стало понятно: либо научимся проходить сертификацию и последующие проверки красиво, либо увязнем в бесконечном марафоне. Спойлер: мы научились.

https://habr.com/ru/companies/basis/articles/899470/

#сертификация #фстэк #devsecops #безопасная_разработка #базис #инспекция_кода

Как мы ускорили ванильную FreeIPA в 20 раз!!! (почти)

В статье речь пойдет об ALD Pro (Astra Linux Domain Pro). Один заказчик попросил предоставить инструмент нагрузки LDAP-запросов, да не простой, а с GUI и графиками. Наша команда в своей работе активно использует open source инструмент нагрузочного тестирования Locust (англ. Саранча). Сам по себе Locust является ядром нагрузки с минимальным функционалом из коробки, но этот функционал расширяется за счет использования Locustfiles, которые пишутся на чистом Python, что позволяет не ограничиваться набором инструкций, как, например, в Dockerfile/Containerfile/Vagrantfile, а писать отдельные Python-модули. На создании инструмента нагрузки ничего не закончилось, а все только началось. Мы нагрузили ALD Pro, получили графики и...обнаружили катастрофу.

https://habr.com/ru/companies/astralinux/articles/891064/

#Группа_Астра #ald_pro #locust #ldap #opensource #astralinux #внедрение #freeipa #rust #фстэк

Новые интересные диагностики в PVS-Studio 7.35

С релизом PVS-Studio 7.35 в анализаторе появилось много новых диагностических правил. Вас ждёт: много MISRA для C, новые Unity-диагностики для C# и покрытие OWASP Top 10 для Java и многое другое! Подробности вы сможете узнать в этой заметке. Читать далее >>>

https://habr.com/ru/companies/pvs-studio/articles/886662/

#sast #статический_анализ #c# #net #c++ #java #гост_712072024 #фстэк #гост

В преддверии испытаний статических анализаторов под руководством ФСТЭК России

В 2024 году вышел ГОСТ Р 71207 — Статический анализ программного обеспечения. Однако пользователям анализаторов сложно определять, насколько тот или иной инструмент соответствует критериям, изложенным в стандарте. Поэтому ФСТЭК России в 2025 году организует испытания статических анализаторов, результаты которых будут опубликованы в конце года. Ближайший этап — это выработка критериев оценки, и я решил предварительно изложить некоторые мысли по этой теме, которые, возможно, будут интересны жюри и участникам.

https://habr.com/ru/companies/pvs-studio/articles/883556/

#pvsstudio #статический_анализ_кода #анализатор_кода #SAST #static_code_analysis #фстэк #фстэк_россии #гост_р_712072024 #ГОСТ #си #си++ #c #cpp #csharp #java #критическая_ошибка

ФСТЭК рассмотрит вопрос безопасности Android-систем в критической инфраструктуре

src: https://www.securitylab.ru/news/554309.php

#SecurityLab #ФСТЭК #ru #rf #рф #андроид #android #security #безопасность

• #OnlyOffice оно же #Р7-Офис если нужен сертификат #ФСТЭК (оно же используется в Яндекс.Документы и у ВК / VK WorkSpace)
• #MyOffice / #МойОфис от компании «Новые Облачные Технологии», почти полностью принадлежащей «Лаборатория Касперского»
• #LibreOffice наиболее продвинутый по функциональности и на фоне первых двух, и остальных некоммерческих
• всё ещё существует Apache #OpenOffice
• #WPSOffice (китайское творчество, коммерческий)
• некий #FreeOffice
• #CalligraSuite