Заметки о ходе испытаний статических анализаторов исходного кода

Заметки о ходе испытаний статических анализаторов исходного кода

5 августа 2025 года на площадке кафедры ИУ10 МГТУ им. Н. Э. Баумана стартовал основной этап испытаний открытых и коммерческих статических анализаторов исходных кодов компилируемых и динамических языков программирования под патронажем ФСТЭК России.

Подробнее о целях и задачах испытаний, а также о функциональных возможностях участвующих в испытаниях инструментов статического анализа, вы можете узнать, ознакомившись с материалом «Испытания статических анализаторов» [1]. В материале «Итоги этапа "Домашнее задание" испытаний статических анализаторов под патронажем ФСТЭК России» [2] приведена краткая характеристика инструментов, сформированная по итогам выполнения первого из двух этапов испытаний, а также обозначены планы организаторов испытаний по развитию публичного репозитория комплектов тестов и стандартизации варианта формата SARIF, допускающего обмен результатами испытаний инструментов в рамках работ Центра исследований безопасности системного ПО ФСТЭК России [3].

Представление результатов испытаний ожидается в декабре 2025 года на полях Открытой конференции ИСП РАН в инновационном кластере «Ломоносов» [4] — ​главного ежегодного отечественного события в области безопасной и качественной разработки и традиционной площадки встреч участников РБПО-сообщества ФСТЭК России и ИСП РАН.

Состоявшийся 5–6 августа запуск основного этапа испытаний в целом признан успешным. Несмотря на потребовавшийся от участников испытаний, членов жюри, площадки и организаторов испытаний существенный объем ресурсных вложений — в первую очередь в разработку комплектов тестов и репозитория их хранения, а также в создание портала централизованной разметки и адаптацию инструментов для взаимодействия с ним — основная часть коллективов приняла активнейшее участие в процессе подготовки. К указанным категориям участников испытаний добавилась новая категория — ​эксперты, в зоне ответственности которых первичная разметка и кросс-верификация срабатываний инструментов. В данную категорию включены представители Ассоциации ФинТех, АО «ИнфоТеКС», ООО «Постгрес Профессиональный», ООО «Свордфиш Секьюрити», АО Центр «Атомзащитаинформ».

На запуске основного этапа присутствовали представители ФСТЭК России и всех участвующих в испытаниях компаний и организаций. Почетная обязанность определить порядок начала испытаний инструментов была предоставлена Михаилу Павловичу Сычеву — ​основателю и бессменному лидеру кафедры ИУ10 «Защита информации». Основной задачей, успешно решенной всеми участниками испытаний 5–6 августа, являлось проведение статического анализа в отношении комплекта компонентов с открытым исходным кодом, сформированного организаторами испытаний на основе предложений жюри, и загрузка данных результатов на портал централизованной разметки — ​работы под кодовым названием «Блок Б». Начиная с 11 августа и до 1 ноября 2025 будет выполняться разметка и кросс-верификация разметки, результаты которой станут основой для подготовки итоговых отчетных материалов.

В середине сентября участники и жюри вновь соберутся в МГТУ для выполнения комплекта тестов под кодовым названием «Блок А». В состав данного комплекта входят тесты, позволяющие проверить реализацию инструментами различных свойств методов статического анализа, наличие у инструментов технологических возможностей по перехвату сборочного процесса и созданию собственных специ­фикаций на источники помеченных данных, а также возможность инструментов успешно анализировать крупные проекты в установленные ГОСТ Р 71207–2024 [5] предельные временные рамки — ​нагрузочное тестирование.

[1] https://ib-bank.ru/bisjournal/post/2388

[2] https://ib-bank.ru/bisjournal/post/2508

[3] https://portal.linuxtesting.ru/

[4] https://www.isprasopen.ru/

[5] https://docs.cntd.ru/document/1304734159