Ошибки С++, приводящие к уязвимостям, и их митигация на KasperskyOS

В ПО есть огромное количество уязвимостей, которые приводят к рискам безопасности при их эксплуатации. Так или иначе, уязвимости в коде есть и будут — с этим ничего не поделать. Но используя специальные процессы разработки ПО, можно свести количество уязвимостей к минимуму.

Одним из подходов, позволяющим митигировать риски уязвимостей, которые еще не выявлены, является применение подхода “Secure By Design”, используемого в KasperskyOS. А одной из практик разработки безопасного ПО является выделение роли Security Champion, который контролирует выполнение требований безопасности на самых ранних этапах.

В докладе приведены примеры кода на С++ с обозначенными уязвимостями — это малая часть уязвимостей, специфичных в целом для нативных приложений на C/C++, которая, в свою очередь, является малой частью всех возможных уязвимостей.