Abstract

System software is a cornerstone of any software system, so building secure system software in accordance with requirements of certification authorities and state-of-the-art practices is an important scientific and technical problem. One of possible approaches to cope with the problem is to build a methodology for secure system software development including advanced scientific technologies and industry best practices. The paper presents current results achieved in building such methodology in the following directions. The first one is regulatory framework improvement including development of GOST R specifications defining requirements to formal models of access control policies and their formal verification. The second direction is design and verification of formal models of corresponding security functional requirements. The third direction is application of new and well established technologies of static and run-time analysis of systems software. The considered technologies include static analysis, fuzzing, functional and unit testing as well as testing the system software against formal models of its functional security requirements. The forth direction is development of methods for acquisition of results of all kinds of the analysis and for its analytical processing. All the directions are illustrated by practical examples of application of the methodology to development of Astra Linux operating system distribution that is certified according to the highest evaluation assurance levels.

Highlights

  • При выборе средств динамического анализа операционной системы специального назначения (ОССН) Astra Linux Special Edition для достижения наибольшей эффективности фаззинг-тестирования учитываются условия функционирования каждого из её тестируемых компонентов, в первую очередь подсистемы безопасности PARSEC

  • ISP RAS, vol 33, issue 5, 2021, pp. 25-40 methods for critical systems, formal methods of software engineering, verification and validation methods, model-based testing, requirements analysis methods, Linux operating system

Read more

Summary

Введение

Разработка безопасного системного программного обеспечения (ПО), достижение доверия к нему является самостоятельной крупной научно-технической проблемой. При этом также важно использовать возможности внедрения в таком системном ПО, в применяемых для обеспечения доверия к нему методах и инструментальных средствах результатов научных исследований отечественных специалистов, возможности отразить все перечисленное в новых или актуализируемых нормативных документах. Причем для системного ПО важен комплексный подход в применении рассматриваемых технологий и методов обеспечения его безопасности, так как фрагментарность здесь (с учётом специфики и сложности такого ПО) приведет к наличию в нем уязвимостей и тем самым сведет на нет все прилагаемые усилия по достижению к нему доверия. Значительные объемы кода и сложность системного ПО, как правило, приводят к большим объемам результатов его анализа, обработка которых за приемлемое время и приведение их к виду, позволяющему использовать эти результаты для оперативного исправления выявляемых ошибок, также является проблемой, для решения которой создаются соответствующие технологии и методы. Заключение завершает статью, в нем приводятся возможные направления дальнейшего совершенствования методологии

Развитие нормативной базы
Разработка и верификация формальных моделей управления доступом
Статический и динамический анализ программного кода
Аналитическая обработка результатов анализа
Заключение и направления развития

Talk to us

Join us for a 30 min session where you can share your feedback and ask us any queries you have

Schedule a call

Disclaimer: All third-party content on this website/platform is and will remain the property of their respective owners and is provided on "as is" basis without any warranties, express or implied. Use of third-party content does not indicate any affiliation, sponsorship with or endorsement by them. Any references to third-party content is to identify the corresponding services and shall be considered fair use under The CopyrightLaw.