А флешку каждому новому корреспонденту голубями отправлять будете? Если масштабировать эти одноразовые блокноты на Х людей, то проблема распространения ключей станет не такой тривиальной, как встретиться и КуАр кодом светануть. Это я ещё не упоминаю про ключи парно-выборочной связи.
Это не проблема при использовании истинно случайной последовательности (как должно быть у Вернама) и надёжного хранения её в секрете. Но автор предлагает алгоритмически её генерировать, что уже делает последовательность псевдослучайной и повторяемой. А где есть повторяемость и открытым текстом даётся смещение, там будет и главная дыра.
Однако я так и не смог понять, будет ли получен сертификат ФСТЭК по требованиям безопасности информации к средствам виртуализации на «Альт Виртуализацию»
В реестре ФСТЭК по этому номеру сертификата есть соответствие требованиям к средствам виртуализации и контейнеризации.
Тут больше вопрос не в ориентации, а в конечной цели. Глобально - сделать конечный продукт более безопасным с т.з. устранения потенциальных уязвимостей. А для этого все средства хороши, но при этом людской ресурс в части разметки найденных срабатываний не безграничен. И хотелось бы начать с тех дефектов, которые одинаково вызывают недоверие сразу у нескольких анализаторов.
Сейчас по сути на рынке статического анализа инструментарий, пригодный по требованиям ФСТЭК, это PVS и Svace. Прокомментируйте возможность сравнения этих инструментов для "чистых" проектов в части автоматизации. Интересует в первую очередь устранение тех ошибок, которые находят оба анализатора вместе. Ну и в целом отличия в срабатываниях (прямо вижу диаграмму Венна).
Классическая np-задача. Проверка решения (сертификата, интерпретации) полиномиальна, поиск решения экспоненциален.
Моя любимая задача из семи задач тысячелетия =)
Безусловно отлично
Спорно, не все готовы отдать наружу даже список зависимостей, есть ли задумки по on-premise?
Российские это множественное число. Кроме БДУ ФСТЭК есть источники? Позитивы, например.
Подумайте над более удобным способом обратной связи, нежели почта или возможность отправлять картинки по кнопке.
Я первый подход к снаряду сделал, недостаток отправил, желаю успехов в этом хорошем начинании.
Для первого примера по ссылке https://www.cve.org/CVERecord?id=CVE-2024-12797 доступно нормальное описание по версиям:
А в целом решение чем будет отличаться от DepTrack или CodeScoring?
А флешку каждому новому корреспонденту голубями отправлять будете? Если масштабировать эти одноразовые блокноты на Х людей, то проблема распространения ключей станет не такой тривиальной, как встретиться и КуАр кодом светануть. Это я ещё не упоминаю про ключи парно-выборочной связи.
Это не проблема при использовании истинно случайной последовательности (как должно быть у Вернама) и надёжного хранения её в секрете. Но автор предлагает алгоритмически её генерировать, что уже делает последовательность псевдослучайной и повторяемой. А где есть повторяемость и открытым текстом даётся смещение, там будет и главная дыра.
А как сохранить в тайне эту пару Гб случайных ключей?
А как синхронизировать смещение для каждого нового сообщения?
Хех, основная проблема шифра Вернама - длина случайной маски равна длине сообщения.
Если Боб и Алиса лично встречаются, нет смысла шифрования: вместо маски шифра просто передаёте сообщение.
Интересный факт: на рис.4 с названием "Отлично работает фаззинг!" фаззинг как раз таки не работает, потому как покрытие не растёт.
Добрый день. Речь идёт о вот этом выступлении на конференции ИСП РАН
https://vkvideo.ru/video-214485707_456239018?t=3h39m50s&ref_domain=isprasopen.ru
Привет. А планируете участвовать в анонсированных ФСТЭК испытаниях средств статического анализа?
Интересует, каким образом выполнено требование контроля целостности исполняемых файлов контейнеров?
А если сравнить с покупкой воды из автоматов 3р./литр, уже не так круто выглядит.
Другое дело, что купить можно тоже абы что...
В реестре ФСТЭК по этому номеру сертификата есть соответствие требованиям к средствам виртуализации и контейнеризации.
Так то и PVS Studio отечественного розлива.
6УД - это как режим "Хочу насладиться историей" в играх, normal начинается с 4 УД, дальше ещё хардкорней
На очереди rosa fresh ?)
Из трёх городов, в честь которых назвали версии Астры, только Смоленск - город-герой, остальные - воинской славы.
Не зря же говорят, что для запуска вируса на Линуксе надо подтянуть нужные зависимости, собрать его, запустить от рута, тогда, возможно, заработает)
Тут больше вопрос не в ориентации, а в конечной цели. Глобально - сделать конечный продукт более безопасным с т.з. устранения потенциальных уязвимостей. А для этого все средства хороши, но при этом людской ресурс в части разметки найденных срабатываний не безграничен. И хотелось бы начать с тех дефектов, которые одинаково вызывают недоверие сразу у нескольких анализаторов.
Добрый день!
Сейчас по сути на рынке статического анализа инструментарий, пригодный по требованиям ФСТЭК, это PVS и Svace. Прокомментируйте возможность сравнения этих инструментов для "чистых" проектов в части автоматизации. Интересует в первую очередь устранение тех ошибок, которые находят оба анализатора вместе. Ну и в целом отличия в срабатываниях (прямо вижу диаграмму Венна).
Моя любимая задача из семи задач тысячелетия =)