Нет, вредоносное действие прежде всего нацеленно на отсылку данных, их порчу возможно.
Отслеживать по результату действия - это оценка по черному ящику, мы же имеем спецификацию, имеем фактически систему - белый ящик.
Поэтому абсолютно точно, мы можем выявить в системе все, что угодно
Цитата
compare - не описана... Однако используется в описанной функции.
Нет, это легко проверяется, в описании программы эта функция должна быть поисана (иначе просто сразу на лицо несоответствие ГОСТу и программу просто бракуем)
Что бы более точно приблизить к задаче приведу пример.
Допустим вы - военная организация.
Заказываете разработку некоторого ПО (например ОС)
Вам поставляют Линукс заточенный для ваших нужд.
Как вы сами понимаете, хоть вам и дали исходные коды - гарантии того, что в тысячах строк кода нет недекларированных возможностей просто нет! (а может все данные будут сливаться кому-нибудь?)
Конечно возможно провести ручную верификацию, но стоимость такой проверки будет высокой.
Вообще стоимость ручного поиска таких "фич" системы будет высокой.
Поэтому неплохо бы автоматизировать этот процесс, то, что пока не понятно как, не значит, что это невозможно!