ИСТИНА

цели проекта: -Метод интерпроцедурного анализа значений для структурных типов. -Реализация методов обнаружения уязвимостей в веб-приложениях на основе предложенных формальных моделей. -Проведение экспериментального исследования статического метода обнаружения уязвимостей в веб-приложениях с целью оценки его эффективности и применимости.

В ходе проекта были разработаны методы статического анализа программ на языке Питон (англ. Python), которые были реализованы в виде специализированного каркаса. Основное назначение каркаса – установление свойств защищенности анализируемых программ. В качестве побочного результата каркас предоставляет возможность устанавливать некоторые общие свойства программ, которые могут быть использованы не только для анализа защищенности кода, но и для других задач. Более конкретно, каркас поддерживает следующие методы анализа программ: - метод интерпроцедурного анализа псевдонимов для программ на языке Питон, который для каждой переменной в каждой точке программы позволяет определить, какие переменные с другими именами указывают на тот же объект, что и данная; - метод интерпроцедурного анализа возможных значений для программ на языке Питон, который для каждой переменной в каждой точке программы позволяет определить значения, которые она может принимать; - метод интерпроцедурного поиска уязвимостей, связанных с некорректной обработкой входных данных; - метод интерпроцедурного поиска уязвимостей авторизации. Для всех разработанных методов было дано теоретическое обоснование корректности анализа. Экспериментальное исследование эффективности реализованных методов (полнота и точность определения свойств программы) на синтетических тестовых примерах и реальных приложениях показало: - приемлемую точность при высокой полноте на синтетических тестовых данных; - низкую точность при высокой полноте на реальных приложениях. Проведенное исследование позволяет сделать вывод, что разработанный каркас обеспечивает высокую полноту определения свойств программ на реальных приложениях на языке Питон. В то же время, низкая точность выдаваемых результатов не позволяет использовать каркас в качестве автономного решения. Актуальной задачей представляется исследование методов повышения точности выдаваемых результатов за счет подключения к каркасу методов динамического анализа и/или тестирования. Валидация результатов методами динамического анализа (и тестирования) на сегодняшний день является основным способом повышения качества результатов, выдаваемых методами статического анализа.