Сведения об уязвимостях программного обеспечения Red Hat Inc

Воронеж 2022

Замечания руководителя

СОДЕЖАНИЕ

ВВЕДЕНИЕ        4

1. Теоретическая часть        6

1.1 Основные термины и обозначения        6

1.2 Уязвимости программного обеспечения        8

1.2 Базы данных уязвимостей        10

2. Практическая часть        12

2.1 Анализ паспортов уязвимостей        12

2.2 Общая характеристика компании Red Hat Inc        16

2.3 Cбор исходных данных для построения карты        19

2.4 Построение и анализ карты уязвимостей        20

ЗАКЮЧЕНИЕ        23

СПИСОК ЛИТЕРАТУРЫ        24

ПРИЛОЕНИЕ А        27

ПРИЛОЖЕНИЕ Б        33

ПРИЛОЖЕНИЕ В        34

ВВЕДЕНИЕ  

Известно, что даже небольшая уязвимость программного обеспечения может привести к большому ущербу. Использование уязвимостей – один из основных способов распространения вредоносного кода, поэтому их поиск является одной из важнейших задач информационной безопасности. Уязвимостью называется ошибка в программном обеспечении, способная напрямую быть использована злоумышлеником для получения доступа к системе или сети. Согласно стандарту ГОСТ 15408 поиск уязвимостей является одним из обязательных этапов оценки безопасности программного обеспечения (ПО) [1]. Отсюда и пристальное внимание разработчиков и пользователей ПО к вопросам систематизации уязвимостей.  

Анализ и прогнозирование надежности использования программного обеспечения имеют большое значение для организации стабильного функционирования информационных систем. Для решения этих задач существуют базы данных уязвимостей. Любое ПО содержит уязвимости, причем они появляются на разных этапах его жизненного цикла. Полностью избавиться от уязвимостей в коде достаточно сложно, но можно, как минимум, сократить их количество. Многие уязвимости ускользают от внимания пользователя ПО, но все эти уязвимости агрегируют и добавляются в базы уязвимостей [2].

Сетевые администраторы или сотрудники, ответственные за безопасность компьютерных систем организации, могут своевременно узнать из баз и реестров о появлении новых угроз для защищаемых ими систем, определить приоритетные меры реагирования на эти угрозы (исходя из оценки критичности и распространенности в организации уязвимого ПО) [3]. Также исследователи, занятые поисками уязвимостей в ПО, и сами производители программного обеспечения, получают благодаря реестрам возможность оценить актуальное состояние дел для конкретного приложения и понять, какие уязвимости для этого приложения уже известны в настоящий момент, а какая из обнаруженных уязвимостей является новой и требует внимательного анализа и исправления .

Актуальность темы исследования связана с тем, что количество уязвимостей, обнаруживаемых в ПО, с каждым годом возрастает. Возрастает также время их устранения. Существующие алгоритмы и модели оценки надежности программного обеспечения информационных систем не в полной мере учитывают факторы, влияющие на работоспособность информационных систем в условиях конфликтных взаимодействий. Для систематизации сведений об уязвимостях программного обеспечения будем использовать картографический метод. Карты — это не просто набор техник представления объектов в виде изображений, но ещё и комплекс условий и ограничений, призванных обеспечить точность соответствия изображений реальным свойствам изображаемых объектов [4].