Занимаясь профессионально разработкой программных средств обнаружения, классификации и анализа уязвимостей, нахожу данное занятие интересным, полезным и весьма нескучным. Наш департамент является особым случаем в компании - мы не разрабатываем продукты, мы их ломаем до того как они выйдут в свет. Поскольку продуктов много, а в SWI всего 100 человек, наши знания и навыки оформляются в виде программных продуктов для внутрикорпоративного использования и передаются для использования в группы разработки и поддержки программных продуктов. Проблема собственного анализа программных продуктов переросла из идеи в реализацию в виде SWI лет 6 назад и оправдала себя целиком.

Основным документом, регламентирующий процесс прохождения программным продуктом проверки на уязвимости, является Software Development Lifecycle (SDL). В нём указаны параметры без которых программному продукту будет указано на невозможность поступить в реализацию.

Моя роль в указанном процессе - разработка методов обнаружения уязвимостей при работе приложений с файловой системой. Вкратце суть задачи сводится к целенаправленной порче файлов которые могут быть переданы приложению злоумышленником с целью получения доступа к системе.

Детали о процессах и методах - в будущих статьях.