«Если у вас нет проблемы — решения не нужны. Но когда вы пытаетесь запустить код, который уже написан, вопрос ‘как его проверить?’ становится главным. SAST и DAST — два разных ответа, которые часто путают или используют неправильно. Разберёмся, зачем они нужны и как выбрать.» Откуда взялись SAST и DAST и что они на самом деле … Читать далее
Это не про то, чтобы просто запретить все библиотеки с уязвимостями. Это про контроль над тем хаосом, который вы впускаете в свой проект каждый раз, когда пишете ‘npm install’ или добавляете в pom.xml очередную зависимость. Фокус смещается с поиска ‘дырок’ на понимание: а что вообще лежит внутри вашей сборки и на каких условиях? https://seberd.ru/4884 За … Читать далее
“Программируемые сети давно перестали быть технологической диковинкой и стали промышленной реальностью. Но каждый, кто управляет такими сетями, в глубине души знает: чем мощнее контроль, тем выше цена ошибки. Одна неверная политика может обрушить не стенд, а производственный контур. Формальная верификация, это не про красивую математику, а про инженерную ответственность. В отличие от эмпирического тестирования, она … Читать далее
“Формальная верификация, это не волшебная палочка для доказательства абсолютной безопасности, а специализированный инструмент, который бессилен против неформализуемых угроз и бессмысленен без глубокого понимания предметной области. Погоня за полной формализацией реальной системы часто ведет к созданию её упрощенной модели, безопасность которой мало связана с безопасностью оригинала.” Что такое формальная верификация и как она работает Формальная верификация, … Читать далее
«Когда говорят о формальной верификации протоколов, обычно вспоминают сложные инструменты вроде ProVerif или Tamarin. Но есть более старый, почти забытый подход — BAN-логика. Он не требует глубоких знаний математики, работает с убеждениями агентов и до сих пор помогает находить тонкие уязвимости, которые ускользают от автоматических анализаторов.» Что такое BAN-логика и почему она появилась BAN-логика, это … Читать далее
«Методы формальной верификации не просто проверяют код — они проверяют отсутствие дефектов в математической модели системы. Полнота означает, что модель охватывает все возможные состояния, а корректность — что проверяемые утверждения не противоречат её реальному поведению. Пропуск одного из этих параметров превращает строгий математический анализ в набор случайных проверок, которые могут пропустить критическую ошибку». Что такое … Читать далее
«SAST, это не скучная формальная отчётность, а способ взглянуть на код так, как не может взглянуть человек. Пока вы пишете очередную проверку на null или думаете о требованиях ФСТЭК, анализатор видит другую реальность — граф потока данных, пути уязвимостей, зависимости между сотнями файлов. Главная ошибка — считать его просто продвинутым линтером. На самом деле он … Читать далее
«Когда про блокчейн говорят «у него нет центральной точки отказа», это часто метафора. Но чтобы утверждение стало фактом, его нужно доказать. Формальные модели и верификация превращают архитектурные декларации в математически проверяемые свойства.» Почему блокчейн, это система, а не только алгоритм Под термином Distributed Ledger Technology (DLT) скрываются десятки реализаций, но все они решают одну задачу: … Читать далее
Суть спора: два подхода к формальной верификации Формальные методы, это инструменты, позволяющие строго доказать соответствие системы (программы, протокола, микросхемы) поставленным требованиям. Однако два главных подхода верификации — модельная проверка и доказательство теорем — заметно различаются по предпосылкам, ресурсоёмкости и глубине гарантии. Верификация теорем (Theorem Proving) строится на логических исчислениях и математических доказательствах. Специалист формулирует свойства … Читать далее