В статье обсуждается методика работы с BogoSec и его внедрение, рассматривается выходная информация BogoSec при работе с некоторыми контрольными примерами, включая Apache Web server, OpenSSH, Sendmail, Perl, и другими.
Предыстория
Координационный центр группы CERT (The CERT Coordination Center - CERT/CC) сообщил о 5990 уязвимостях в 2005 г., по сравнению с 171 в 1995 г. Многие уязвимости в системе безопасности ПО имеют место из-за неудовлетворительных методик, применяющихся при программировании. Некоторые уязвимости можно обнаружить с помощью специального алгоритма сканерами исходного кода, созданными для нахождения потенциальных проблем в области безопасности. Так как количество и опасность потенциальных дыр в безопасности на строку кода увеличивается, разумно предположить, что общее качество исходного кода с точки зрения безопасности ухудшается. Показатели BogoSec - это вычисленные величины, отражающие относительные характеристики качества безопасности исходного кода, которые можно использовать с целью сравнения.
BogoSec был создан с целью повлиять на разработчиков, чтобы они со временем начали писать более безопасный исходный код. Существуют различные сканеры, которые указывают разработчикам на потенциально небезопасные фрагменты кода, однако разработчики зачастую неохотно используют подобные сканеры, так как на первый взгляд существует высокая вероятность получить слишком много небезопасных (по мнению программы) фрагментов кода, в действительности таковыми не являющихся. Кроме того, существуют трудности, связанные с использованием таких сканеров. BogoSec пытается уменьшить количество "неверных диагнозов", расширяя сферу сканирования кода за счёт использования множества независимых сканеров. В результате получаются высококачественные показатели, позволяющие как разработчикам, так и пользователям делать сравнения и судить о качестве исходного кода с точки зрения его безопасности.