• Artykuły
  • Forum
  • Ciekawostki
  • Encyklopedia
  • Budowanie lepszego, bezpieczniejszego oprogramowania

    26.05.2010. 19:12
    opublikowane przez: Redakcja Naukowy.pl

    Skąd mamy mieć pewność, czy oprogramowanie na naszym komputerze jest bezpieczne? Poprawa bezpieczeństwa oprogramowania to temat projektu SHIELDS (Wykrywanie znanych zagrożeń bezpieczeństwa na podstawie narzędzi projektowych i programistycznych), który otrzymał 3,25 mln EUR z tematu "Technologie informacyjne i komunikacyjne" (TIK) Siódmego Programu Ramowego (7PR). Projekt, który oficjalnie zakończy się w czerwcu, pomaga odpowiedzieć na problem zabezpieczenia oprogramowania.

    Nawet teraz, kiedy technologia szybko posuwa się naprzód, systemy aplikacji komputerowych bywają ograniczane przez słabe punkty w zabezpieczeniach. Co więcej postęp jako taki ma wiele wspólnego z samym problemem. Na przykład współczynnik awarii rośnie wraz z potrzebą chronienia coraz większych zasobów krytycznych danych i systemów (kwestia audytu oprogramowania). Poza tym wraz z postępem w informatyce i wzrostem poziomu złożoności oprogramowania, pojawia się coraz więcej wad. Kolejny problem to eskalacja zagrożeń na jakie narażone są systemy informatyczne, coraz częściej postrzegane - ze względów ekonomicznych lub politycznych - jako cele przez doskonale wyposażonych przestępców.

    Zapory i programy antywirusowe do ochrony oprogramowania stają się niewystarczające i eksperci coraz częściej wskazują na potrzebę wbudowywania zabezpieczeń jako podstawowego elementu samego oprogramowania.

    Jak przekonuje zespół SHIELDS na szczeblu branżowym niektóre z problemów nie ustępują, ponieważ informacje o znanych wadach nie są udostępniane programistom ani integrowane z narzędziami, z których korzystają do tworzenia oprogramowania. Zwykle bazy danych, do których programiści mają dostęp, opisujące słabe punkty zawierają jedynie ogólne informacje o problemach, ocenie ryzyka, rozwiązaniach i narzędziach (najczęściej pisanych, tak czy inaczej, raczej z myślą o użytkownikach niż programistach). Brak informacji dla programistów oznacza brak pomocy w znajdywaniu i usuwaniu słabych punktów.

    Od uruchomienia projektu SHIELDS w 2008 r. podejście zespołu polegało na skoncentrowaniu się na lukach we wiedzy i komunikacji, jakie istnieją pomiędzy ekspertami od zabezpieczeń a programistami. Celem projektu SHIELDS było zapobieżenie przypadkowemu wprowadzeniu znanych wad w zabezpieczeniach do nowego oprogramowania poprzez przekazywanie programistom istotnych informacji z poszczególnych działów branży. Nowe narzędzia ułatwią ekspertom od zabezpieczeń - i przyśpieszą - przekazywanie informacji o słabych punktach, co z kolei pomoże programistom unikać ich, wykrywać i usuwać je.

    Rozwiązanie zaproponowane w ramach projektu SHIELDS polega na stworzeniu wspólnego magazynu informacji o zabezpieczeniach dla wszelkiego typu narzędzi i metod zabezpieczających pod nazwą Security Vulnerability Repository Service (SVRS). Magazyn SVRS to centralny element serwisu SHIELDS. Ma służyć przede wszystkim jako pośrednik między ekspertami od zabezpieczeń a programistami. Przechowywane i zarządzane są w nim powiązane i złożone zasoby wiedzy o zabezpieczeniach. Ponadto zespół opracował dwa programy certyfikacji dla branży: SHIELDS Compliant (zgodny z SHIELDS) oraz SHIELDS Verified (zweryfikowany przez SHIELDS). Certyfikat SHIELDS Compliant stosowany jest wobec narzędzi zgodnych z SVRS, a certyfikat SHIELDS Verified służy do zatwierdzania oprogramowania, które zostało zweryfikowane pod kątem słabych punktów w zabezpieczeniach w trakcie procesu tworzenia.

    Wyniki prac projektu SHIELDS z powodzeniem przeszły już kilka weryfikacji, w których zademonstrowano podejście SHIELDS i modelowe narzędzia testowe. Studia przypadku wykazały ograniczenie problemów z zabezpieczeniem oprogramowania oraz to, że narzędzia są odpowiednie zarówno dla ekspertów ds. zabezpieczeń, jak i programistów. Niemal wszystkich ośmiu testerów wysoko oceniło możliwości narzędzi SHIELDS w wykrywaniu słabych punktów w zabezpieczeniach.

    Podczas 30-miesięcznego projektu zespół stworzył narzędzia na miarę nowych technologii oraz przekazał przydatne informacje programistom i konsumentom. Narzędzia umożliwiają testowanie (Flinder opracowany przez SEARCH-LAB, TEG - przez Montimage i Institut TELECOM), monitorowanie (TIC oraz TIPS opracowane przez Montimage i Institut TELECOM), edytowanie modeli (GOAT opracowany przez LiU, SeaMonster - przez SINTEF), jak również prowadzenie kontroli (DEFECT opracowany przez Fraunhofer).

    W skład konsorcjum SHIELDS wchodzą Institut TELECOM/TELECOM SudParis (Francja), Montimage EURL (Francja), Fraunhofer IESE (Niemcy), SEARCH-LAB Ltd (Węgry), TXT e-solutions SPA (Włochy), SINTEF (Norwegia), Europejski Instytut Programistyczny (Hiszpania) oraz Linköpings Universitet (Szwecja).

    Za: CORDIS

    Czy wiesz ĹĽe...? (beta)
    Okręg wyborczy Tynemouth and North Shields powstał w 1832 r. i wysyłał do brytyjskiej Izby Gmin jednego deputowanego. Okręg obejmował miasta Tynemouth i North Shields w hrabstwie Northumberland. Został zlikwidowany w 1885 r. Martyn Thomas Waghorn (ur. 23 stycznia 1990 w South Shields) – angielski piłkarz występujący na pozycji napastnika w Leicester City. Spojrzenie mordercy (ang. Freeway) – amerykański thriller z 1996 roku oparty na scenariuszu i reżyserii Matthew Brighta. Wyprodukowany przez Republic Pictures. W filmie występują Kiefer Sutherland, Reese Witherspoon i Brooke Shields.

    Testowanie oprogramowania – proces związany z wytwarzaniem oprogramowania. Jest to jeden z procesów zapewnienia jakości oprogramowania. Testowanie ma na celu weryfikację oraz walidację oprogramowania. Weryfikacja oprogramowania ma na celu sprawdzenie, czy wytwarzane oprogramowanie jest zgodne ze specyfikacją. Walidacja sprawdza, czy oprogramowanie jest zgodne z oczekiwaniami użytkownika. Testowanie oprogramowania może być wdrożone w dowolnym momencie wytwarzania oprogramowania (w zależności od wybranej metody). W podejściu klasycznym największy wysiłek zespołu testerskiego następuje po definicji wymagań oraz po zaimplementowaniu wszystkich zdefiniowanych funkcjonalności. Nowsze metody wytwarzania oprogramowania (np. Agile), skupiają się bardziej na jednostkowych testach wykonywanych przez członków zespołu programistycznego, zanim oprogramowanie trafi do właściwego zespołu testerów. Alan Young (właśc. Angus Young, ur. 19 listopada 1919 w North Shields) − brytyjski aktor telewizyjny i głosowy. Najbardziej znany z roli Wilbura Posta w serialu Koń, który mówi.

    Sir Francis Owen Garbatt Williams CBE, znany bardziej jako Sir Frank Williams (ur. 16 kwietnia 1942 w South Shields) – brytyjski inżynier założyciel i szef zespołu Williams. Od 1969 roku obecny w różnych zespołach Formuły 1. Stanley "Stan" Harding Mortensen (ur. 26 maja 1921 w South Shields, zm. 22 maja 1991) – angielski piłkarz grający jako napastnik.

    Zarządzanie jakością oprogramowania (ang. Software Quality Assurance / Management) – proces mający na celu zapewnienie jakości tworzonego oprogramowania poprzez właściwe uruchomienie i zakończenie procesu testowania oprogramowania. Narzędzia wnękowe - są to narzędzia kamienne formowane retuszem wnękowym. Narzędzia tego typu mogą posiadać od jednej do kilku wnęk co jest podstawą dla typologii tych narzędzi.

    Narzędzie programistyczne (ang. programming tool) – program komputerowy służący do tworzenia, modyfikowania, testowania i konserwacji oprogramowania.

    Ramón Zabalo (ur. 10 czerwca 1910 roku w South Shields, zm. 2 stycznia 1967) – były hiszpański piłkarz, reprezentant kraju.

    Narzędziownia lub narzędziarnia - budynek lub część hali zakładu przemysłowego, wydzielone jako odrębny dział, służący jako magazyn, wypożyczalnia oraz miejsce na wykonywanie wszelkich prac służących utrzymaniu narzędzi i przyrządów technicznych (np. pomiarowych) we właściwym stanie technicznym. Ponadto narzędziownia służy jako miejsce wykonywania narzędzi na potrzeby produkcji lub ich modyfikowanie i przystosowanie na potrzeby procesu technologicznego. W narzędziowni dokonuje się również napraw i konserwacji narzędzi i przyrządów. Flora McKenzie Robson (ur. 28 marca 1902 w South Shields, zm. 7 lipca 1984 w Brighton) − brytyjska aktorka, nominowana do Oscara za rolę drugoplanową w filmie Saratoga Trunk.

    Dodano: 26.05.2010. 19:12  


    Najnowsze