На главную
ПРАВИЛА FAQ Помощь Участники Календарь Избранное DigiMania RSS
msm.ru
Модераторы: Rust
  
> Ищу специалиста по исследованию ПО., Исследование ПО микроконтроллера.
    Добрый день!
    Необходимо получить заключение на проведенную экспертизу, включающую исследование программного обеспечения.

    Исходные данные.
    Имеется электронно-механический прибор, измеряющий физическую величину и выводящий результат измерения на табло.
    В составе электронного прибора основной элемент – плата с микроконтроллером P83C592 "PHILIPS", программное обеспечение (ПО) находится в съемной микросхеме ППЗУ 29F010B емкостью 128 кбайт.
    Предположительно в ПО внесены изменения, приводящие к тому, что время от времени показания табло искажаются.
    Исходного кода нет.

    Эксперт провел экспертизу, в которой указал, что провел исследование ПО. Вывод эксперта: ПО изменено и приводит к искажению показаний табло на определенную величину.

    Есть сомнения в выводах эксперта, так как:
    - никаких данных о том, что эксперт является специалистом в исследовании программного обеспечения и ранее проводил подобные исследования, нет;
    - в тексте экспертизы есть упоминание об исследовании ПО, но самого исследования нет, соответственно нет возможности исследование проверить и повторить;
    - есть косвенные данные, что эксперт просто написал в экспертизе то, что нужно заинтересованной стороне, а исследование ПО на самом деле не проводил.

    Необходимо получить квалифицированный ответ на вопросы:
    1. Учитывая, что:
    - ПО в съемных микросхемах ППЗУ предположительно изменено и содержит недокументированные возможности, а исходный код ПО завода-изготовителя отсутствует, каков должен быть порядок выявления недокументированных возможностей ПО и точного понимания особенностей их работы?
    2. Гарантирует ли этот порядок точное восстановление исходного кода ПО и почему? Носят ли результаты исследования ПО в соответствии с этим порядком конкретный и достоверный либо вероятностный характер?
    3. Необходимо ли проведение полного анализа алгоритма всего ПО?
    4. Что означают понятия "обратная инженерия", "реинжиниринг", "декомпиляция" применительно к исследованию ПО?
    5. Каким требованиям должно отвечать исследование ПО на предмет выявления недокументированных возможностей, чтобы исследование можно было впоследствии проверить и повторить?
    6. Какими руководящими документами (методиками, ГОСТами и др.) регламентируются порядок действий и действия, указанные в вопросе 1?
    7. Какие ресурсы (программы, данные и др.) обязательно необходимы для действий, указанных в вопросе 1? Можно ли без этих ресурсов провести исследование ПО?
    8. Каковы (оценочно) трудозатраты для проведения действий, указанных в вопросе 1?
    9. Какова должна быть квалификация и опыт работы специалиста(ов), способных осуществить действия, указанные в вопросе 1?
    10. Являются ли выводы эксперта об определении "изменения выданного объема на 3,5 – 7 % больше реально посчитанного" достоверными и обоснованными? И почему?

    Оплата по договоренности.
      Есть лаборатории, которые занимаются сертификацией ПО и проверкой его на "недокументированные возможности", но работают они с исходным кодом. С другой стороны какие "недокументированные возможности" у контроллера, который никуда не подключен и лишь измеряет и выводит измерения на табло? Проверять прошивку на глюки и баги, дело не то что невозможное, а на мой взгляд совершенно ненужное. Варианты от простого к сложному такие:
      1) Взять и самому проверить прибор вручную меняя параметры в тех условиях что необходимы.
      2) Написать прошивку заново/найти аналогичное решение.
        Цитата user2019 @
        Эксперт провел экспертизу, в которой указал, что провел исследование ПО. Вывод эксперта: ПО изменено и приводит к искажению показаний табло на определенную величину.
        Почти единственный способ определить, что ПО изменено, это сравнить прошивку с заведомо правильной. Не обязательно побайтно - вполне хватит проверки контрольных сумм. При этом надо учитывать, что и оригинальная прошивка может иметь несколько вариантов.
        Чтобы утверждать, что за искажение показаний ответственно ПО надо проверить работу устройства со штатным ПО или работу этого ПО на другом исправном устройстве. Искажения могут возникать и из-за неисправности измерителей или неправильной настройки.
        А само-то искажение показаний он подтвердил?
        Цитата user2019 @
        - в тексте экспертизы есть упоминание об исследовании ПО, но самого исследования нет, соответственно нет возможности исследование проверить и повторить;
        Если не описана методика исследования, то бдь этот эксперт хоть весь обвешан сертификатами, дипломами и свидетельствами, и имей в копилке миллион ранее проведённых исследований, всё равно остаётся сомнение в том, что экспертизе можно доверять.
        Просто заключение экспертизы состоит, как и многие другие подобные документы, из: 1) описания проблемы (на экспертизу передан …, необходимо что-то там выяснить); 2) описания гипотез, которые надо подтвердить/опровергнуть (иногда объединяется с первой частью); 3) из описания методики проведения экспертизы (опускается, если экспертиза представляет собой лишь экспертное мнение); 4) результаты проведённых экспериментов (тестов и проверок) (или рассуждения в случае мнения); 5) выводов, сделанных из проделанного в предыдущей части (как ответ на вопросы заданные в первой и второй, если есть, частях)
        Может быть что-то ещё упустил, давненько ни в каких экспертизах участвовать не приходилось.
        Цитата user2019 @
        - есть косвенные данные, что эксперт просто написал в экспертизе то, что нужно заинтересованной стороне, а исследование ПО на самом деле не проводил.
        Может быть, но отказаться от результата экспертизы, просто обвинив его в этом, не получится. Надо проводить повторную экспертизу. Поводом к которой может послужить сомнение в достоверности первой экспертизы (в том, что экспертиза проведена с соблюдением всех правил, а не в том, что выводы неверные)
        Цитата user2019 @
        - никаких данных о том, что эксперт является специалистом в исследовании программного обеспечения и ранее проводил подобные исследования, нет;
        А вот это иногда не является обязательным. Он мог кого-нибудь привлечь в качестве помощника. Правда, в таком случае он этого помощника тоже должен был упомянуть, как со-эксперта.
        Всё написанное выше это всего лишь моё мнение, возможно ошибочное.
          В данном случае мне нужно не обсуждение, а специалист, который может дать заключение (см. начало темы).
          1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
          0 пользователей:


          Рейтинг@Mail.ru
          [ Script Execution time: 0,0674 ]   [ 15 queries used ]   [ Generated: 15.09.19, 12:22 GMT ]