Обеспечение безопасности системы автоматизированного тестирования программных приложений
С. А. Черненок
Новосибирский государственный университет
Автоматизированные системы тестирования программных приложений являются одним из наиболее успешных инструментов выявления квалифицированных кадров в области информационных технологий. Обычно, такие системы являются публично доступными системами с большим числом пользователей и часто используются для проведения различного рода соревнований по программированию.
К числу основных предъявляемых требований к автоматизированным системам тестирования относятся возможность административного управления соревнованиями, безопасное хранение конфиденциальных данных пользователей, устойчивость системы к атакам извне, что влечет необходимость наличия адекватной политики безопасности. Кроме того, многие системы тестирования создаются без обмена знаниями между разработчиками, игнорируют накопленный опыт по проектированию защищенных систем, что ведет к повторению одних и тех же ошибок. Поэтому целью данной работы стало исследование возможных формальных решений для обеспечения безопасности, контроля доступа, и применение этих знаний для создания защищенной системы тестирования.
В настоящей работе проведено сравнение современных автоматизированных систем тестирования для олимпиад по программированию с точки зрения безопасности, выявлены их основные достоинства и недостатки. На основе функциональных требований и полученных знаний выполнено формализованное описание модели безопасности системы с использованием теоретико-множественного подхода, доказана корректность используемой модели для эффективного решения проблемы разграничения доступа. Выполнено исследование актуальных подходов к обеспечению безопасности систем тестирования, которые нашли свое применение при разработке системы NSUts.
Для системы NSUts была реализована адекватная архитектура подсистемы авторизации и проверки прав доступа, интегрирована система анализа кода на зараженность, защита от распространенных уязвимостей (инъекции в SQL-запросы и код приложения, XSS). Пройдена успешная апробация реализованных подходов по обеспечению безопасности в условиях реальных соревнований.
Научные руководители – доцент Д. В. Иртегов; канд. физ.-мат. наук, доцент Т. Г. Чурина