Данная угроза заключается в том, что обнаруженные ошибки ПО, которые могут стать причиной появления уязвимостей, не исправляют или исправляют несвоевременно вследствие неквалифицированных действий работников разработчика при определении и реализации процедур отслеживания и исправления обнаруженных ошибок ПО.

Обнаруженные ошибки могут быть не исправлены (или несвоевременно исправлены) из–за отсутствия информации, необходимой для устранения, либо по причине того, что информация, необходимая для устранения ошибки, является некорректной. Разработчик в силу различных причин может принять осознанное решение о неисправлении отдельных обнаруженных ошибок, являющихся причиной появления уязвимостей программы, либо отказаться от реализации процедур отслеживания и исправления обнаруженных ошибок программы, принимая последствия негативного влияния такого решения на безопасность разрабатываемого ПО. Причиной отсутствия или некорректности информации, необходимой для устранения ошибок, может являться преднамеренная модификация объектов среды разработки ПО, создаваемых и используемых для определения и реализации процедур отслеживания и исправления обнаруженных ошибок программы. Модификации могут подвергаться как объекты, содержащие информацию, необходимую для устранения ошибок (например, специальная база данных или документально оформленный перечень обнаруженных ошибок), так и инструментальные средства, используемые для реализации процедур отслеживания и устранения обнаруженных ошибок программы, и (или) объекты среды разработки ПО, содержащие необходимую информацию о процедурах отслеживания и устранения ошибок ПО или информацию об использовании и параметрах используемых инструментальных средств. Ошибки программы, которые не были исправлены, могут стать причиной уязвимостей передаваемой пользователю программы. Уязвимости программы в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на определение и реализацию процедур отслеживания и исправления обнаруженных ошибок программы или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при отслеживании и исправлении обнаруженных ошибок программы, путем осуществления санкционированного или несанкционированного доступа.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым разработчиком ПО при отслеживании и исправлении обнаруженных ошибок программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО механизмах контроля доступа к объектам среды разработки ПО и контроля целостности объектов среды разработки ПО, а также мерах по разработке безопасного ПО, в частности: отсутствием мер, связанных с решением проблем в ПО в процессе эксплуатации, недостатками в процедурах, связанных с отслеживанием и исправлением обнаруженных ошибок ПО и обучением работников разработчика ПО в области разработки безопасного ПО [из 5.6.1 Угроза неисправления обнаруженных уязвимостей программы ГОСТ Р 58412–2019]