Безопасность информационных технологий

В статье предложен методический подход к оценке защищённости программных компонентов системы дистанционного обучения Moodle с использованием методов автоматизированного статического анализа исходного кода. Повышение уровня защищённости образовательных информационных систем приобретает особую значимость на фоне широкого распространения LMS-платформ, обрабатывающих персональные и служебные данные участников образовательного процесса, включая результаты аттестации. Moodle – одно из самых популярных open source решений, используемых в университетской среде, и его модульная архитектура требует регулярного аудита безопасности в условиях постоянного расширения функциональности. В рамках исследования в качестве объекта анализа был выбран критически важный модуль moodle-tool_componentlibrary, обеспечивающий визуальную унификацию элементов интерфейса в LMS-системе и влияющий на работу сопряжённых компонентов. С использованием инструментов SonarQube (v9.9 LTS) и SonarScanner, развёрнутых в изолированной среде WSL2 с применением Docker-контейнеров, проведено комплексное статическое сканирование 5892 строк исходного кода программного компонента. В результате анализа были выявлены 589 проблем, распределённых по категориям: 72 нарушения соответствуют критериям надёжности (reliability), 532 – сопровождаемости (maintainability), а 2 критические точки (security hotspots) требуют дополнительного ручного аудита. Установлено полное отсутствие модульных тестов (0% coverage) и превышение допустимого уровня дублирования кода (33,4%), что создаёт риски при модификации функционала. На основе полученных метрик разработана методика количественной оценки защищённости с расчётом обобщённого коэффициента  Такой результат свидетельствует о необходимости рефакторинга перед развёртыванием в продуктивной инфраструктуре и подчёркивает эффективность интеграции открытых средств анализа в процессы CI/CD и сопровождения LMS-платформ.

1. Тимофеева Л.Л. Актуальность проблемы обеспечения информационной безопасности в образовательных организациях. Методические рекомендации по обеспечению информационной безопасности в образовательной организации. Орёл: Институт развития образования. 2020, с. 4–6. URL: https://xn--h1albh.xn--p1ai/wp-content/uploads/2021/06/Metodicheskie-rekomendacii-po-obespecheniju-informacionnoj-bezopasnosti-v-obrazovatelnoj-organizacii.pdf (дата обращения: 23.05.2025).

2. Ключарёв П.Г. Клеточные автоматы и их обобщения в задачах криптографии. Ч. 2. Вопросы кибербезопасности. 2022, № 1(47), c. 37–48. DOI: 10.21681/2311-3456-2022-1-37-48. – EDN: TESEJS.

3. Muñoz Barón M., Wyrich M., Wagner S. An Empirical Validation of Cognitive Complexity as a Measure of Source Code Understandability. arXiv preprint. 2020, № arXiv:2007.12520. URL: https://arxiv.org/abs/2007.12520 (дата обращения: 23.05.2025).

4. Lacerda G., Petrillo F., Pimenta M., Gueheneuc Y. G. Code Smells and Refactoring: A Tertiary Systematic Review of Challenges and Observations. arXiv preprint. 2020, № arXiv:2004.10777. URL: https://arxiv.org/abs/2004.10777 (дата обращения: 23.05.2025).

5. Марков О. Интеграция Docker с WSL. PurpleSchool. 2025. URL: https://purpleschool.ru/knowledge-base/article/wsl (дата обращения: 23.05.2025).

6. Дровникова И.Г., Попова А.Д. Аналитические модели расчета показателей защищенности программного обеспечения автоматизированных систем органов внутренних дел. Вестник Воронежского института МВД России. 2024, № 2,
c. 22–33. URL: https://ви.мвд.рф/Nauka/nauchnij-zhurnal-vestni/Vestnik_2_2024.pdf (дата обращения: 23.05.2025).

7. Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения. Вопросы кибербезопасности. 2014, № 3(4), c. 20–28. URL: https://cyberleninka.ru/article/n/tehnologii-staticheskogo-i-dinamicheskogo-analiza-uyazvimostey-programmnogo-obespecheniya/viewer (дата обращения: 23.05.2025).

8. Кузнецов П. Контролируем качество кода с помощью платформы SonarQube. URL:
https://pvs-studio.ru/ru/blog/posts/0452/ (дата обращения: 23.05.2025).

9. Попова, Арина Д.; Попов, Антон Д.; Дровникова, Ирина Г. Методика эксперимента для оценивания защищенности программного обеспечения автоматизированных систем органов внутренних дел. Безопасность информационных технологий, [S.l.], т. 32, № 1, с. 95–111, 2025. ISSN 2074-7136.
DOI: 10.26583/bit.2025.1.06.

10. Зуев П. Анализ и измерение качества программного кода с помощью SonarQube. URL: https://o2k.ru/blog/analiz-kachestva-koda-s-pomoshchyu-sonarqube (дата обращения: 23.05.2025).

11. Фаррелл М. Аудит ядра Moodle: поиск логических ошибок. Блог Quarkslab. 2025, 22 апр. URL: https://blog.quarkslab.com/auditing-moodles-core-hunting-for-logical-bugs.html (дата обращения: 23.05.2025).

12. Reis S., Abreu R., Cruz L. Fixing vulnerabilities potentially hinders maintainability. arXiv preprint arXiv:2106.03271. 2021. URL: https://arxiv.org/abs/2106.03271 (дата обращения: 23.05.2025).

13. Khan R.A., Khan S.U., Khan H.U. and Ilyas M. Systematic Literature Review on Security Risks and its Practices in Secure Software Development. IEEE Access, v. 10, p. 5456–5481, 2022.
DOI: 10.1109/ACCESS.2022.3140181.

14. Olii, D., Manoppo, C., Mamahit, C., & Abast, M. (2025). LMS Affects Teaching Effectiveness: Depending on LMS Platforms, Lecturer Qualification, and Lecturer Age. Jurnal Pendidikan Progresif, 13(2), p. 682–697.
DOI 10.23960/jpp.v13.i2.202341.

15. Воеводин В.А., Ганенков Д.С., Королев С.Д. Об актуальности применения программного средства MaxPatrol 8 для целей аудита автоматизированных систем. Радиоэлектронные устройства и системы для инфокоммуникационных технологий («РЭУС-2022»): Доклады Всероссийской конференции (с международным участием), Москва, 08–10 июня 2022 года. Том Выпуск: LXXVII. М.: Российское научно-техническое общество радиотехники, электроники и связи им. А.С. Попова. 2022, c. 240–244. – EDN: VCDUTW.