Перейти к содержанию
AM_Bot

Аналитика: Программные закладки в бизнес-приложениях

Recommended Posts

AM_Bot

Программные закладкиВ большинстве компаний используются модифицированные или разработанные самостоятельно бизнес-приложения. При этом чистота исходного кода никак не контролируется. В таких условиях ничто не мешает программисту-инсайдеру незаметно установить скрытую программную закладку, которая будет активирована в нужный момент. Отсюда возникает существенные риски, о которые говорить пока как-то непринято.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Влияние информационных технологий на бизнес-процессы до сих пор остаётся недооцененным, особенно это проявляется в огромном доверии, которое получают от бизнеса ИТ специалисты. При этом стоит обобщить и сказать о специалистах всех специальностей ИТ, которые имеются на предприятии.

В приведённых, автором, примерах видно, что пути появления программных закладок могут быть различны как внутренние (основные источники недобросовестные программисты, администраторы, инженеры) так и внешние. И если путь извне можно перекрыть или сделать более контролируемым, то путь изнутри перекрыть крайне сложно, а если злоумышленник имеет возможность влиять не только на исходные тексты бизнес-приложений, но и на работу готового приложения, то контроль практически невозможен. Организационные и технические методы тут будут бессильны.

Новаторские подходы, приведённые автором в статье, помогут решить проблему, но только в одном случае: если будет жесткое разделение труда и контроль за бизнес-приложением на всех этапах его жизненного цикла (возникновение потребности в бизнес –приложении, анализ требований, разработка, эксплуатация и сопровождение)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

тема актуальна. Вопрос поднимался неоднократно, но какого - либо внятного решения так и не обрел. Можно вспомнить про закладки в софте яблокофона, когда персональные данные пользователей, а также их серфинг просто сливаются рекламщикам. Есть и еще примеры. Видимо потому в ряде западных стандартов появилось требование обязательного просмотра итогового кода сертифицированными специалистами. Однако при достаточно большом количестве строк такого кода тривиальный просмотр уже не является решением Тут необходимо искать решения в какой - либо автоматизации этого вопроса.

Более того, необходимо однозначное разделение подразделений разработки, тестировщиков и имплементаторов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.600. В числе прочего добавлена поддержка Big Sur 11.1 и 11.2.
    • PR55.RP55
      Поле нужно заполнять. Можно заполнять с пометкой: I  >> The Qt Company Ltd.  <<    I    Пустое поле когда есть реальная\полезная информация ? Это не дело. От пустого поля польза = 0.    
    • PR55.RP55
      На V.T.   видимо опять что-то изменили. VTOK [] 1613 VTOK [] 1572 VTOK [] 1585 ----------        
    • santy
      цифровая подпись может не соответствовать производителю, так что не стоит добавлять недостоверную информацию о производителе вместо незаполненного поля. например: файл: C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\7Z.DLL цифровая: Действительна, подписано Malwarebytes Inc производитель: Igor Pavlov   или C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\QT5WINEXTRAS.DLL Действительна, подписано Malwarebytes Inc The Qt Company Ltd.  
    • PR55.RP55
      И ещё момент. В  папке с vtcache скапливается по несколько тысяч файлов... т.е. файлы старше 3 или ( ∞ ) дней не удаляются. Я так понимаю программа проверяет\заменяет только тот файл который проверяется сейчас. А другие файлы могут годами сохраняться. ( сейчас посмотрел есть файлы от 2018 года )  
×