Какие существуют методы и средства поиска уязвимостей при сертификационных испытаниях защищенных вычислительных систем?

Некоторые методы и средства поиска уязвимостей при сертификационных испытаниях защищённых вычислительных систем (ЗВС):

Методы:

• Экспертно-документальный метод. habr.com Перечень потенциальных уязвимостей формируют на основе информации об известных уязвимостях в схожих по функциональным возможностям продуктах, в других версиях объекта сертификации, в заимствованных компонентах, типовых уязвимостях, характерных для технологий, используемых при разработке объекта сертификации. habr.com
• Статический анализ исходных текстов ПО. habr.com Его проводят, если в рамках сертификационных испытаний есть доступ к исходным текстам. habr.com
• Фаззинг-тестирование. habr.com cyberrus.info Его используют, например, при сертификации по требованиям профилей защиты для сетевых устройств. cyberrus.info
• Метод непосредственного тестирования. www.dissercat.com Позволяет быстро выявить типовые ошибки в программном обеспечении, которые приводят к возникновению уязвимостей в ЗВС. www.dissercat.com
• Формальный анализ системы защиты. www.dissercat.com При этом методе анализируют не только реакцию системы на некоторые группы входных данных, но и внутреннюю реализацию системы. www.dissercat.com

Средства:

• «Доказатели теорем». www.dissercat.com Это программное обеспечение, которое проводит формальную дедукцию и непосредственный поиск. www.dissercat.com
• «Контроллеры доказательств». www.dissercat.com Такие программы позволяют пользователю контролировать последовательность шагов в процессе логических выводов о свойствах системы, но проверяют корректность каждого шага. www.dissercat.com