Ошибка безопасности

Тип ошибки программного обеспечения

Ошибка безопасности или дефект безопасности — это программная ошибка , которая может быть использована для получения несанкционированного доступа или привилегий в компьютерной системе. Ошибки безопасности создают уязвимости безопасности , компрометируя один или несколько из следующих факторов:

• Аутентификация пользователей и других субъектов ^[1]
• Разрешение прав доступа и привилегий ^[1 ]
• Конфиденциальность данных
• Целостность данных

Ошибки безопасности не обязательно должны быть идентифицированы или использованы, чтобы считаться таковыми, и предполагается, что они встречаются гораздо чаще, чем известные уязвимости практически в любой системе.

Причины

Ошибки безопасности, как и все другие ошибки программного обеспечения , возникают из-за основных причин , которые обычно можно отследить либо по отсутствию, либо по неадекватности: ^[2]

• Обучение разработчиков программного обеспечения
• Анализ вариантов использования
• Методология разработки программного обеспечения
• Тестирование обеспечения качества
• и другие передовые практики

Таксономия

Ошибки безопасности обычно попадают в довольно небольшое число широких категорий, которые включают в себя: ^[3]

• Безопасность памяти (например, ошибки переполнения буфера и висячего указателя )
• Состояние гонки
• Безопасная обработка ввода и вывода
• Неправильное использование API
• Неправильная обработка вариантов использования
• Неправильная обработка исключений
• Утечки ресурсов , часто, но не всегда, из-за неправильной обработки исключений.
• Предварительная обработка входных строк перед проверкой их приемлемости

Смягчение

См. обеспечение безопасности программного обеспечения .

Смотрите также

• Компьютерная безопасность
• Хакерство: искусство эксплуатации
• ИТ-риск
• Угроза (компьютер)
• Уязвимость (вычисления)
• Аппаратная ошибка
• Безопасное кодирование

Ссылки

1. "CWE/SANS TOP 25 самых опасных ошибок программного обеспечения". SANS . Получено 13 июля 2012 г. .
2. "Качество и безопасность программного обеспечения". 2008-11-02 . Получено 2017-04-28 .
3. Альхазми, Омар Х.; Ву, Сунг-Ван; Малайя, Яшвант К. (январь 2006 г.). «Категории уязвимостей безопасности в основных программных системах». Труды Третьей международной конференции IASTED по безопасности коммуникаций, сетей и информации .

Дальнейшее чтение

• Open Web Application Security Project (21 августа 2015 г.). «Список 10 лучших угроз 2013 года».
• "CWE/SANS TOP 25 самых опасных ошибок программного обеспечения". SANS . Получено 13 июля 2012 г. .