5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы ГОСТ Р 58412-2019

Данная угроза заключается в преднамеренном или непреднамеренном (из–за неосторожности или неквалифицированных действий работников разработчика ПО) раскрытии информации об обнаруженных ошибках ПО и уязвимостях программы. Нарушение конфиденциальности данной информации может способствовать выявлению уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Примечание — В качестве примеров источников информации можно привести: документально оформленный перечень обнаруженных ошибок ПО и уязвимостей программы, базу данных с информацией об обнаруженных ошибках ПО и уязвимостях программы.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия информации, содержащейся в объектах среды разработки ПО, в том числе в элементах конфигурации, создаваемых или используемых разработчиком ПО при реализации процедур отслеживания и исправления ошибок, вследствие санкционированного или несанкционированного доступа к указанным объектам.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при реализации процедур отслеживания и исправления ошибок. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена:

[из 5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы ГОСТ Р 58412–2019]