Документ на 60 страниц, Отчет о Посредничестве NIST (NISTIR) 8151: Существенно Уменьшающие Слабые места программного обеспечения (связь внешняя), являются коллекцией новейших стратегий, собранных со всех концов промышленности и других источников для сокращения ошибок в программном обеспечении. В то время как отчет – официально ответ на запрос о методах из Управления по разработке политики в области науки и техники Белого дома, программист NIST Пол Э. Блэк говорит, что его содержание поможет любой организации, которая стремится создать высококачественный, машинный код низкого дефекта.
«Мы хотим, чтобы кодеры знали об этом», сказал Черный, один из соавторов публикации. «Мы сконцентрировались на включении свежих идей, что они уже могли не услышать о».Черный и его коллеги NIST собрал эти идеи, работая с экспертами по гарантии программного обеспечения от многих частных компаний в компьютерной отрасли, а также нескольких правительственных учреждений, которые производят много кодекса, включая Министерство обороны и НАСА. Получающийся документ отражает их совокупный вход и опыт.
Слабые места распространены в программном обеспечении. У даже маленьких заявлений есть сотни ошибок (связь внешняя) некоторыми оценками. Понижение этих чисел принесло бы много преимуществ, таких как сокращение количества компьютерных катастроф, и пользователи перезагрузок должны иметь дело с, не говоря уже о сокращении числа обновлений участка, которые они должны загрузить.
Сердце документа, Черного, сказало, пять наборов подходов, инструментов и понятий, которые могут помочь, все из которых могут быть найдены во второй секции документа. Подходы организованы в соответствии с пятью подзаголовками, что, несмотря на их тяжелые жаргоном названия, каждый обладает идеей здравого смысла как всеобъемлющим принципом (см. загружаемую инфографику).Эти подходы включают: использование основанных на математике инструментов, чтобы проверить кодекс будет работать правильно; разбивая программы компьютера в модульные части так, чтобы, если одна часть терпит неудачу, целая программа не терпела крах; соединение аналитических инструментов для кодекса, которые в настоящее время работают в изоляции; использование соответствующих языков программирования для задачи, которую кодекс пытается выполнить; и развитие развивающегося и изменение тактики для защиты кодекса, который является целью кибератак.В дополнение к самим методам публикация предлагает рекомендации для того, как программное сообщество может узнать о том, где и как использовать их.
Это также предлагает, чтобы клиенты просили, чтобы методы использовались в развитии. «Вы как потребитель должны быть в состоянии написать его в контракт, что Вы хотите, чтобы продавец разработал программное обеспечение в соответствии с этими принципами, так, чтобы это было столь безопасно, как это может быть», Черный сказал.Безопасность – конечно, главное беспокойство о почти всех, кто использует технологию в эти дни, и Черный сказал, что оригинальный запрос Белого дома об этих подходах был частью своих 2 016 федеральных Планов Стратегического действия R&D кибербезопасности, предназначенных, чтобы быть осуществленным за следующие три – семь лет. Но хотя идеи безопасности проникают в документе, Черный сказал, что у стратегий есть еще более широкое намерение.«Безопасность имеет тенденцию пузыриться на поверхность, потому что у нас есть противники, которые хотят эксплуатировать слабые места», сказал он, «но мы все еще захотим избежать ошибок даже без этой угрозы.
Усилие загнать их в угол поднимает общие принципы. Вы заметите, что у названия нет слова ‘безопасностью’ в нем нигде».Найдите отчет онлайн в: http://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8151.pdf