5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения ГОСТ Р 58412-2019

Данная угроза заключается в непреднамеренном совершении ошибок при выполнении тестирования ПО. Совершаемые ошибки могут носить случайный характер или быть связаны с неверным выбором стратегий тестирования, недостаточным покрытием тестовыми процедурами проверяемых требований, неточным описанием сценариев тестовых процедур, начальных условий и ожидаемых результатов тестирования, совершением ошибок в процессе выполнения тестирования (воспроизведение начальных условий, реализация тестовых сценариев, использование инструментальных средств способами, не соответствующими порядку их эксплуатации, использование инструментальных средств, применение которых не предусмотрено при тестировании, документирование данного процесса), ошибочной модификацией фактических результатов тестирования ПО или перечня выявленных при тестировании ПО уязвимостей программы. Уязвимости программы, которые не были обнаружены и (или) исправлены из–за ошибок при выполнении тестирования ПО, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование планов тестирования, ожидаемых или фактических результатов тестирования, перечня выявленных при тестировании ПО уязвимостей программы или внесения изменений в любые объекты среды разработки ПО, в том числе в элементы конфигурации, создаваемые или используемые при выполнении тестирования ПО. При этом изменения вносят путем санкционированного доступа к объектам среды разработки ПО.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах по разработке безопасного ПО, в частности: некачественным или неполным проведением функционального тестирования программы, тестирования на проникновение, динамического анализа кода программы, фаззинг–тестирования программы, недостатками в мерах, связанных с управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО [из 5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения ГОСТ Р 58412–2019]