Проекты

Фильтр по:
Очистить выбор

Программа персональных цифровых сертификатов

14.05.2021

Совместные образовательные курсы с Университетом 20.35

31.10.2021

Обучение преподавателей региональных университетов

31.12.2021

Совместная разработка образовательного контента с университетом Оулу

31.12.2022

Образовательный курс «Форсайт научно-технологического развития»

31.12.2021

Обучение управлению на основе данных

31.01.2022
Показать еще

Система автоматического поисках уязвимостей в веб-приложениях на основе обработки больших данных

Руководитель проекта

Денис Гамаюнов Руководитель проекта

Заказчик

МГУ имени М.В. Ломоносова Заказчик

Описание проекта

Проект предусматривает создание программного комплекса для непрерывного автоматического обнаружения уязвимостей в веб-приложениях. В основе создаваемого решения лежит обработка больших данных о типичных ошибках по корпусу доступных приложений в открытых репозиториях, а также анализ результатов тестирования конкретных примеров защищаемых веб-приложений с помощью метода «черного ящика» (фаззинга). При такой стратегии тестирования уязвимостей программу атакуют заведомо некорректными данными, которые называются «искажением» (англ. fuzz), а затем анализируются падения и сбои, если они произошли. Одним из главных технологических барьеров, на решение которого направлен разрабатываемый продукт, является сложность автоматического обнаружения уязвимостей в веб-приложениях с большими объемами программного кода. Планируется использование создаваемого программного комплекса в двух основных вариантах: 1. публичный («облачный») сервис, который сканирует исследуемое приложение из облака; 2. частный – в виде устанавливаемого на стороне клиента оборудования. В обоих случаях предусматривается возможность интеграции сервиса с системами поддержки разработки и трекерами задач и будет обеспечиваться поддержка жизненного цикла безопасной разработки программ (SDL – Secure Development Lifecycle).

Итоги 2020 года

● Разработан макет программного комплекса, а также согласованы требования к его пользовательскому интерфейсу и API с индустриальными партнерами проекта.

Итоги 2021 года

● Разработан опытный образец программного комплекса по автоматическому обнаружению уязвимостей в веб-приложениях, доработанный по результатам экспериментов на реальных приложениях и пилотных проектов, пригодный для опытной и коммерческой эксплуатации.