Анализатор исходных текстов программ «АК-ВС 3» — современное и функциональное средство выявления уязвимостей и недекларированных возможностей в программном обеспечении при помощи SAST и DAST методик.
АИТП «АК-ВС 3» предназначен для автоматизации процесса испытаний программных средств защиты информации - проведения статического и динамического анализов исходных кодов программ и построения основных отчетов согласно требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1 Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссии России, 1999 год) до первого уровня контроля включительно и «Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении» (ФСТЭК России, 2020 год). Указанное позволяет выполнить полный цикл проведения сертификационных испытаний (для испытательных лабораторий) и выполнять проверки в соответствии с ГОСТ БРПО (для компаний-разработчиков программных систем).
Нормативная база применения: ГОСТ Р 56939.
Доступные отчеты статического анализа:
Таблицы информационных объектов (ИО);
Отчёт по выявленным вставкам кода.
Отчёт по базовым блокам (ББ);
Список предполагаемых дефектов;
Блок-схемы ФО;
Критические маршруты выполнения ФО;
Таблица связей ФО по информации;
Маршруты выполнения ФО;
Таблица связей ФО по управлению;
Список неопределенных ФО;
Список невызываемых ФО;
Таблицы функциональных объектов (ФО).
Доступные отчеты динамического анализа:
Отработавшие ФО (процедуры и функции);
Отработавшие связи между ФО (процедурами и функциями);
Отработавшие ФО (ветви);
Отработавшие связи между ФО (процедурами, функциями и ветвями);
Отработавшие ББ;
Отработавшие связи между ББ.
Технические характеристики
поддержка множества языков – C (ANSI C, C90, C99, C11, C17), C++ (C++98, C++2003, С++11, С++14, С++17, частично C++20), Java (SE 8, частично SE 11), C# (5.0 полностью, частично до 9.0),
наличие энциклопедии уязвимостей (в соответствии с международным стандартом CWE для описания дефектов в области безопасности программ),
имеет изначальные установки для выполнения сигнатурного анализа в рамках языков C/C++ , C# и Java,
поддержка построения отчетов в соответствии с требованиями РД “Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей” (Гостехкомиссия России),
кроссплатформенность и простота развертывания (продукт поставляется в виде virtual appliance, что позволяет запускать его практически на любой ОС).
Режим работы: 8:00 - 18:00
Бесплатный звонок по России
