Scribd Logo
Upload

Welcome to Scribd!

  • БПЗ Лабораторна робота №1 ст гр КБ 44 Тормін Олексій

    Uploaded by

    alexeytormin2000
    14 views3 pages

    Original Title

    БПЗ_Лабораторна_робота_№1_ст_гр_КБ_44_Тормін_Олексій

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    14 views3 pages

    БПЗ Лабораторна робота №1 ст гр КБ 44 Тормін Олексій

    Uploaded by

    alexeytormin2000

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 3

    МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

    НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

    ІКТА
    кафедра ЗІ

    ЗВІТ
    до лабораторної роботи № 1
    з курсу: «Безпека програмного забезпечення»
    на тему: «Вступ до аналізу безпеки програмного забезпечення»

    Виконав: ст. гр. КБ-44


    Тормін О. С.

    Прийняв: Сусукайло В.А.

    Львів 2023

    Мета роботи: Ознайомитися з техніками аналізу безпеки програмного

    забезпечення.

    Завдання

    1.Які основні типи сканування забезпечуються Fortify on Demand?

    Сканування вихідного коду – процес виявлення вразливостей у коді пз.


    Сканування контейнерів – виявлення вразливостей у контейнерах , таких як
    Kubernetes або Docker.

    Сканування мобільних та веб-додатків – виявлення вразливостей у веб та


    мобільних додатках , наприклад: sql-ін’єкції, XSS що підходить для обох та
    CSRF для веб-додатків та переповнення буферу для мобільних додатків.

    Окрім раніше вказаних типів сканування, Fortify on Demand також надає


    можливість виконання аналізу компонентів програмного забезпечення через
    метод Software Composition Analysis (SCA). Цей вид сканування спрямований
    на вивчення компонентів програмного забезпечення та їхніх залежностей. Це
    дозволяє виявити вразливості, пов'язані з використанням сторонніх бібліотек,
    фреймворків та пакетів, що може відкривати двері для атак, якщо ці
    компоненти мають свої власні уразливості.

    2. У чому різниця між типами сканування що забезпечуються Fortify on


    Demand та які переваги має кожен тип сканування?

    Основна різниця полягає в призначенні цих типів сканувань: наприклад,


    сканування контейнерів виявляє вразливості, специфічні для контейнерів.
    Кожен з видів сканувань спроможний виявити конкретні помилки в
    інфраструктурі або коді, а також невдумливі вади, такі як викладення паролів
    чи ключів продукту прямо в коді, що може бути надзвичайно небезпечно.
    Додатково, завдяки значному обсягу коду, можна виявити проблеми за
    короткий період часу, що інакше потребувало б тижнів для звичайного
    пошуку, або навіть взагалі залишалося б невиявленим.

    3. У якій послідовності ви б пропонували проводити кожен з типів

    сканувань та чому?
    • Вихідного коду щоб не було критичних помилок на початку.

    • Веб-додатків для уникнення несанкціонованого доступу до додатку.

    • Мобільних додатків для уникнення вразливості контролю пристроєм.

    • Контейнерів – уникнення доступу до системи або даних.

    • Інфраструктури

    Висновки

    Під час лабораторної роботи я ознайомився з основними типами сканувань,


    які пропонує Fortify on Demand. Я дослідив переваги та недоліки кожного
    сканування, познайомився з інтерфейсом користувача, розширив свої знання
    про інформаційну безпеку та навчився використовувати Fortify on Demand
    для виявлення вразливостей програмного забезпечення.

    You might also like