12 Июля 2006 15:07 12 Июл 2006 15:07 |

Поделиться

Уязвимости ПО можно предсказывать

Для проверки модели исследователи использовали ежемесячные отчеты об  уязвимостях двух самых популярных веб-серверов — Apache и Microsoft IIS. В модель также вписались данные об уязвимостях в Windows 95, NT и Linux Red Hat 7.1 с 1995 года. Цель модели не в том, чтобы помочь разработчикам создать продукт полностью без ошибок — это невозможно, — а в том, чтобы ошибок стало меньше, говорит один из авторов модели, профессор компьютерных наук Яшвант Малайя (Yashwant Malaiya).

Согласно модели, график количества уязвимостей по времени представляет собой S-образную кривую, как в целом, так и для каждого типа. Исследователи сделали предположение, что IIS достиг точки насыщения уязвимостями. Вместе с тем, инструмент страдает большой неточностью и может ошибиться на 25%. Так, в январе этого года он предсказал для Windows 98 от 45 до 75 уязвимостей, а по данным Национальной базы уязвимостей, их было обнаружено 66, а в июле их  число выросло до 91. Что касается Windows 2000, то 305 найденных ошибок попали в предсказанный диапазон 294–490. В модели используется предполагаемая «плотность дефектов» кода на тысячу строк, которая остается примерно одинаковой для разных версий. Вместе с тем, модель не  учитывает наличие инструментов для анализа кода.

Поделиться

Подписаться на новости Короткая ссылка