`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Статистический анализ помогает находить дефекты веб-приложений

18 апреля 2016 г., 11:35
0 
 
Статистический анализ помогает находить дефекты веб-приложений

Используя особенности популярной среды веб-программирования Ruby on Rails, исследователи из Массачусетского технологического института (MIT) разработали систему, которая с высокой производительностью просеивает десятки тысяч строк кода в поисках уязвимостей. В тестах на 50 популярных веб-приложениях, написанных с использованием Ruby on Rails, новый отладчик обнаружил 23 прежде неизвестных дефекта защиты. При этом, на анализ каждой программы уходило не более 64 секунд.

По словам профессора Дэниэля Джексона (Daniel Jackson), рассматривать потоки данных в программе с очень высокой степенью генерализации системе позволяет применение методов статистического анализа.

В случае веб-приложений традиционный статистический анализ трудно использовать на практике. «Даже если вы написали небольшую программу, она базируется на огромном здании библиотек, подключаемых модулей и фреймворков», — поясняет Джексон.

Ему вместе с выпускником MIT, Джозефом Ниром (Joseph Near), удалось превратить этот недостаток в преимущество. Особенность Ruby on Rails заключается в том, что даже самые базовые операции в этой платформе определены в библиотеках: каждое сложение или назначение значения переменной сопровождается импортом кода из библиотеки.

Нир переписал эти библиотеки так, чтобы определенные в них операции описывали собственное поведение на логическом языке. Это превратило интерпретатор Ruby on Rails, преобразующий высокоуровневые команды в машинный код, в инструмент для статистического анализа. Прогонка программы через интерпретатор с библиотеками Нира даёт формальное, построчное описание того, как это ПО работает с данными.

Для каждого из семи уровней доступа к информации Нир создал простую логическую модель, которая описывает круг действий с данными, допустимых для пользователя. Отладчик может автоматически проверять, укладывается ли программа в ограничения соответствующих моделей. Если нет, это с большой вероятностью указывает на наличие дефекта безопасности.

Исследователи представят свои результаты в следующем месяце, на международной конференции по программным технологиям в Остине (штат Техас).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT