Компетенция: теория разработки безопасного ПО (РБПО)

• Матрица компетенций
• Стандарты и аналогичные документы
• Книги
• Цикл РБПО в Telegram-канале "Бестиарий программирования"
• Видеолекции для специалистов в области информационной безопасности
• Статьи
• Доклады, вебинары, круглые столы и т.п.
• Разделы сайта PVS-Studio
• Опциональная подписка на телеграмм-каналы
• Разное
• P.S.

В нашей компании ООО "ПВС" существует матрица компетенций, на основании которой сотрудники проходят различные обучения, получают навыки и получают баллы для движения по сетке грейдов. Нам полезно развивать сотрудников, чтобы они лучше понимали суть РБПО, могли использовать некоторые подходы в работе, проводили доклады/вебинары на эту тему и т.д. Поэтому мы решили выделить и оформить сходную компетенцию, которую смогут получить заинтересованные сотрудники. Началом этого процесса стало составление списка полезных для нас материалов по теме РБПО. Всё это внутренняя кухня, однако сам список достаточно интересный и может быть полезен широкому кругу разработчиков и менеджеров. Поэтому мы решили опубликовать список ссылок на выбранные нами материалы в виде этой статьи.

Матрица компетенций

О том, как мы внедряли матрицу компетенций, рассказывала наш HR Инна Пристягина в докладе "Матрица компетенций в небольшой компании: 5 стадий принятия".

Прошу прощение за тавтологию, но матрица компетенций состоит из различных компетенций. Некоторые из них обязательны, некоторые опциональны или зависят от отдела, в котором работает сотрудник. Недавно мы поняли, что пора добавить новую компетенцию, касающуюся теории разработки ПО (РБПО).

Сразу предупреждаю, что мы решали свою внутреннюю задачу и у нас не стояло цели составить универсальную подборку материалов по этой теме. Уклон сделан в общую теорию и статический анализ кода.

Также в статью не вошли некоторые ссылки на внутренние ресурсы, отсылки к документам ДСП, вопросы/задания для проверки знаний, очерёдность изучения и так далее.

Однако я уверен, что в приведённых ссылках вы сможете найти много полезного и нового.

Стандарты и аналогичные документы

Внимательно изучить:

• ГОСТ Р 56939-2024 – Разработка безопасного программного обеспечения.
• ГОСТ Р 71207-2024 – Статический анализ программного обеспечения.

Пролистать (просмотреть):

• ГОСТ Р 51904-2002 – Программное обеспечение встроенных систем. Общие требования к разработке и документированию.
• ГОСТ Р 58412-2019 – Угрозы безопасности информации при разработке программного обеспечения.
• AppSec Table Top: методология безопасной разработки от Positive Technologies.
• Приказ ФСТЭК России от 11.04.2025 N 117 – "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений".

Книги

Перечисленные книги есть в нашей офисной библиотеке. Те, которые выходили много лет назад, может быть затруднительно найти в интернет-магазинах. Но не думаю, что это критично. Рассматривайте их, скорее, как примеры тематичной литературы.

Прочитать:

• Талантов С.В. Безопасный С++. Руководство по безопасному проектированию и разработке программ. - Москва: Издательство АСТ, 2025. - 416 с.
• Ховард М., Лебланк Д, Виега Д. Как написать безопасный код на C++, Java, Perl, PHP, ASP.NET. - М.: ДМК Пресс, 2014. - 288 с.: ил.
• Макконнелл С. Совершенный код. Мастер-класс / Пер. с англ. - М. : Издательско-торговый дом "Русская редакция"; СПб.: Питер, 2005. - 896 стр.: ил. Примечание – она вроде и не про РБПО, но оттуда можно почерпнуть очень много полезного.
• Мини-книга: PVS-Studio соответствует требованиям ГОСТ Р 71207—2024 (статический анализ программного обеспечения). При чтении подобных документов прошу учитывать, что часть информации устарела и будет продолжать устаревать. Список поддерживаемых языков, интеграций, возможностей и т.д. лучше смотреть на странице продукта PVS-Studio и в документации.

Опционально для чтения:

• Грег Хогланд, Гари Мак-Гроу. Взлом программного обеспечения: анализ и использование кода. : Пер. с англ. - М.: Издательский дом "Вильямс", 2005. - 400 с. : ил.
• Фаулер М. Рефакторинг: улучшение проекта существующего кода. - Пер. с англ. - СПб: Символ-Плюс, 2005. - 432 с., ил.
• Мартин Р. Чистый код: создание, анализ и рефакторинг. Библиотека программиста. - СПб.: Питер, 2011. - 464 с.: ил.

Цикл РБПО в Telegram-канале "Бестиарий программирования"

Имеются в виду посты в канале "Бестиарий программирования" с пометкой РБПО-xxx. На момент написания этого документа они опубликованы ещё не все. Поэтому сейчас имеется в виду:

• Прочитать все имеющиеся на данный момент посты, начиная с первого.
• Затем подписаться и читать новые посты.

Подразумевается не только чтение самих постов, но и изучение в разумных пределах материалов, по имеющимся в постах ссылкам.

Когда будут опубликованы все посты, они будут собраны в единый документ, и тогда в матрице компетенций будет ссылка на него, а не на разрозненные заметки.

Видеолекции для специалистов в области информационной безопасности

Посмотреть цикл из 15 видеолекций на сайте ФСТЭК.

Статьи

Прочитать:

• Сертификация ФСТЭК: самый подробный гайд. Часть первая — подготовка. Часть вторая — процесс сертификации.
• Безопасность приложений: инструменты и практики для Java-разработчиков.
• Ошибки Java по ГОСТу: обзор и примеры.
• Поиск потенциальных уязвимостей в коде: часть 1 — теория; часть 2 — практика.
• Уязвимость XSS в приложении ASP.NET: разбираем CVE-2023-24322 в CMS mojoPortal.
• Парсинг string в enum ценой в 50 Гб: разбираем уязвимость CVE-2020-36620.
• Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности.
• Что такое катастрофический возврат и как регулярное выражение может стать причиной ReDoS-уязвимости?
• Атака Trojan Source: скрытые уязвимости.
• Почему моё приложение при открытии SVG-файла отправляет сетевые запросы?
• Уязвимости из-за обработки XML-файлов: XXE в C# приложениях в теории и на практике
• Стреляем в ногу, обрабатывая входные данные.
• Зачем Java-разработчику знать регуляторику. Часть 1. Часть 2.
• Документирование по ГОСТ 34* - это просто
• Пишем свои диагностические правила для анализатора Svace.
• Как найти поверхность атаки незнакомых приложений с помощью Natch.
• Зачем искать поверхность атаки для своего проекта.
• Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024).

Доклады, вебинары, круглые столы и т.п.

Просмотреть 5 вебинаров про ГОСТ Р 71207-2024 — Статический анализ программного обеспечения:

• Общее описание и актуальность.
• Терминология.
• Критические ошибки.
• Технологии анализа кода.
• Процессы.

Просмотреть 5 докладов про ГОСТ Р 56939-2024 — РБПО:

• Причины разработки и выпуска нового ГОСТ Р 56939-2024 на замену версии 2016 года.
• Содержание ГОСТ Р 56939-2024 и его структура.
• Процессы РБПО 5.1-5.10 в ГОСТ Р 56939-2024.
• Процессы РБПО 5.11-5.25 в ГОСТ Р 56939-2024.
• ГОСТ Р 56939-2024: вопросы сертификации, выводы и дополнительные ссылки.

Посмотреть все 25 основных и все дополнительные вебинары серии "Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024". Сейчас вышли не все 25 запланированных выпусков, поэтому пока имеется в виду посмотреть те, что есть. И дальше смотреть новые выпуски по ходу их появления.

Посмотреть запись круглого стола "Как встроить безопасность в процесс разработки ПО: практика, ошибки, решения".

Посмотреть вебинары:

• Внедрение процессов безопасной разработки. Интеграция PVS-Studio и SGRC SECURITM.
• PVS-Studio в CI/CD. Автоматизация регулярного статического анализа на примере интеграции с Jenkins.
• Регулярный статический анализ по ГОСТу.
• Интеграция статического анализа и DevSecOps: PVS-Studio и AppSec.Hub в действии.
• Эффективная разработка с Нейтрино и PVS-Studio: инструменты, безопасность и качество кода.
• Безопасность приложений: инструменты и практики для Java-разработчиков.

Послушать подкасты:

• Подкаст linkmeup | РБПО.
• Подкаст linkmeup | Процесс сертификации в системе ФСТЭК России — взгляд со стороны участников.
• Подкаст Ever Secure | Статический анализ по-серьезному.

Ещё доклады:

• Конференция SafeCode. Андрей Карпов. Модельные варианты ошибок, или Как статические анализаторы находят ошибки, которые не могут искать.
• Merge Tatarstan 2025. Виталий Филатов. Регулярный статический анализ. Не только полезно, но и необходимо.
• Мария Хлопова. Интеграция результатов анализа PVS-Studio в SonarQube.
• Конференция SafeCode. Евгений Кокуйкин. Анализ атак на LLM, техники промпт-инъекций и защиты от них.
• Презентация СВД ВС. Принципы работы с пакетами поддержки плат: сборка, развертывание и статический анализ с использованием PVS-Studio. PDF-файл.

Разделы сайта PVS-Studio

Быть знакомым со следующими разделами сайта:

• ГОСТ Р 71207-2024.
• Сертификация ФСТЭК.
• PVS-Studio как SAST-решение и подразделами, ссылки на которые там приводятся (про CWE и т.д.)

И терминами:

• CERT Coding Standards.
• Common Vulnerabilities and Exposures (CVE).
• Common Weakness Enumeration (CWE).
• Cross-Origin Resource Sharing (CORS).
• Cross-site request forgery.
• DoS-атака.
• OWASP, OWASP Топ-10.
• Path Traversal.
• ReDoS (Regular expression Denial of Service).
• SCA (Software Composition Analysis).
• SQL-инъекция.
• Secure Software Development Lifecycle (SSDLC).
• Server-Side Request Forgery (SSRF).
• Software Development Lifecycle (SDLC).
• XEE-атака (billion laughs attack).
• XXE-атака (XML External Entity).
• Внедрение команд ОС.
• Катастрофический возврат в регулярных выражениях.
• Модельный вариант (ошибки).
• Межсайтовый скриптинг (XSS).
• Потенциальная уязвимость.
• Уязвимость нулевого дня.

Опциональная подписка на телеграмм-каналы

Подписываться не обязательно, но полезно, чтобы быть в курсе различных новостей/событий. Рекомендуемые каналы:

• Телеграмм канал "Бестиарий программирования", который уже упоминался ранее.
• Телеграмм канал "Технологический Болт Генона".
• Телеграмм канал "Новости информационной безопасности".
• Телеграмм канал "Статика и Компиляторика::Доверенная Разработка".
• Ещё вот здесь можно по вкусу себе подобрать – "Ресурсы под эгидой Центра компетенций ФСТЭК России и ИСП РАН".

Разное

Прочитать:

• BIS Journal. Испытания статических анализаторов.
• BIS Journal. Итоги этапа "Домашнее задание" испытаний статических анализаторов под патронажем ФСТЭК России.
• BIS Journal. Три кита РБПО. 2. Динамический анализ. Многоликий динамический анализ. Статью можно найти здесь.
• Владимир Кочетков. Почему фолзят SAST'ы? Часть 1, Часть 2.
• Методическая рекомендация N 2025-07-011 | Уровень критичности: 3 - Область: Инструментальный анализ.
• Центр исследований безопасности системного ПО. Инструкция по проведению разметки результатов статического анализа ядра Linux.

Знать про существование этой подборки инструментов: AppSec Каталог.

Опционально можно посмотреть эту подборку материалов по фаззингу.

Опционально пройти один из обучающих курсов по РБПО в УЦ МАСКОМ, как это уже сделал ___ (удалено).

P.S.

Если уважаемый читатель добрался до P.S. этой специфической публикации, значит тема РБПО действительно его интересует. Раз так, пока будет изучаться весь этот материал, приглашаю скачать и попробовать статический анализатор кода PVS-Studio. Он станет важной частью обеспечения качества и надёжности вашего кода. Используйте промокод rbpo_competence для получения месячной лицензии.