Данная угроза заключается в непреднамеренном внесении в программу недостатков из–за ошибок, допущенных при использовании инструментальных средств разработки ПО, или преднамеренной модификации инструментальных средств и объектов среды разработки ПО, содержащих информацию о применяемых при создании программы параметрах инструментальных средств, которые при условии их необнаружения или неисправления могут стать причиной появления уязвимостей программы. Использование в процессе разработки программы модифицированных инструментальных средств, содержащих программные закладки, или неверной информации, связанной с параметрами инструментальных средств, может привести к внедрению в программу уязвимостей. Уязвимости программы, появившиеся из–за ошибок при использовании инструментальных средств или использования модифицированных инструментальных средств или их неверных настроек, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.
Реализация данной угрозы внутренним нарушителем может осуществляться путем:
- использования инструментальных средств способами, не соответствующими порядку их эксплуатации (например, из–за использования ошибочной настройки), вследствие использования инструментальных средств, применение которых не предусмотрено при разработке ПО, или путем внесения изменений в любые объекты среды разработки ПО, содержащие применяемые при создании программы параметры инструментальных средств;
- модификации или замены инструментальных средств или внесения изменений в любые объекты среды разработки ПО, содержащие информацию о применяемых при создании программы параметрах инструментальных средств.
Изменения могут быть внесены путем санкционированного или несанкционированного доступа к указанным объектам или инструментальным средствам.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к инструментальным средствам или объектам среды разработки ПО, содержащим информацию о применяемых при создании программы параметрах инструментальных средств. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.
Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, в частности: некачественной или неполной идентификацией инструментальных средств разработки ПО и их параметров, недостатками в мерах, связанных с управлением конфигурацией ПО, обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.
Примечание — К инструментальным средствам относятся, например, трансляторы, компиляторы, редакторы исходного кода программ, отладчики, интегрированные среды разработки.
[из 5.3.3 Угроза внедрения уязвимостей программы из–за неверного использования инструментальных средств при разработке программного обеспечения ГОСТ Р 58412–2019]