Telegram Group Search
Коллеги, уже несколько месяцев наша команда активно тестирует новую версию парсера, и мы достигли значительного прогресса. Благодаря отзывам пользователей, мы смогли выявить и устранить множество неточностей в работе анализатора.

Наша цель — создать максимально надёжный инструмент, поэтому мы продолжаем процесс тестирования и приглашаем вас присоединиться ❤️

Все подробности по ссылке 🔗

#PVS_Studio
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡️Уже сегодня новый вебинар!

Тема: Регулярный статический анализ по ГОСТу
12:00

На вебинаре разберём часть требований стандартов 56939-2024 и 71207-2024 в части регулярного статического анализа, как выстроить этот самый регулярный статический анализ в рамках РБПО, автоматизировать его через системы CI и значительно ускорить пайплайн за счёт эффективных подходов. Узнайте, как интеграция анализа в процесс разработки помогает находить уязвимости раньше и экономить ресурсы команды!

Ссылка на регистрацию 🔗

#вебинар
Please open Telegram to view this post
VIEW IN TELEGRAM
Друзья, рады предоставить вам подборку Telegram-каналов про разработку. Вас ждут каналы про языки C++, C# и Java 👍

Если хотите прокачать скиллы или просто читать годный контент — загляните в статью!

#статья #cpp #csharp #java
Please open Telegram to view this post
VIEW IN TELEGRAM
Тяжела и неказиста жизнь простого программиста статических анализаторов кода
Команда PVS-Studio, содействуя разработке методики испытаний статических анализаторов под руководством ФСТЭК, составляла некоторые синтетические тесты. Писать синтетические тесты сложнее, чем кажется, и с их достоверностью всегда масса нюансов. Я никогда не любил синтетические тесты и продолжаю их не любить. Но что делать, они тоже нужны, когда речь заходит о необходимости подтвердить, что в анализаторах реализован определённый набор технологий.

Даже зная и понимая нюансы составления синтетических тестов, мы всё равно наступили на собственные грабли! Переиграли сами себя :)

Есть составленные нами тесты, в которых в функцию srand или её аналог передаётся константное значение. Это приводит к тому, что функция rand каждый раз будет генерировать одинаковую последовательность псевдослучайных чисел. Такой код, согласно ГОСТ Р 71207-2024, п. 6.3.г, может являться ошибкой некорректного использования системных процедур и интерфейсов, связанных с обеспечением информационной безопасности (шифрования, разграничения доступа и пр.).

Когда тесты подготавливались в Compiler Explorer, всё работало: PVS-Studio выдавал предупреждение V1057. А сейчас, когда код мило и скромно лежит в файлах, не работает. На Compiler Explorer работает, а вне — нет. Магия. Уже собрались баг в анализаторе искать.

Ах нет, всё просто. Файлы с тестами называются test_err_*.cpp. И в детекторе срабатывает исключение N4: "Находимся в файле, содержащем в названии слова check/test/bench". Тьфу. Причём получается, что анализатор прав: это действительно тест, а не настоящий баг :) Вот оно, несовпадение реальности и синтетических проверок в действии. Выкрутимся как-нибудь, но решил описать, так как случай интересный.

Зачем такое исключение? При разработке анализатора самое важно состоит не в том, чтобы выдать предупреждение, а в том, чтобы постараться не выдать лишнее. У всех анализаторов ложноположительных срабатываний всегда больше, чем хочется.

При экспертизе коллекции проектов стало ясно, что если это файлы с тестами, то писать srand(константа) абсолютно нормально. Более того, так специально делают, чтобы тесты вели себя повторяемо от запуска к запуску. Вот и было принято решение сделать соответствующее исключение. Теоретически это может скрыть реальную ошибку, но на практике в большой коллекции проектов, на котором мы прогоняем новые диагностические правила, такого не было. Зато в юнит-тестах этих проектов такое встречалось часто, и, соответственно, предупреждение оказывалось бессмысленным.

Был рад поведать немного интересного из жизни разработчиков статических анализаторов кода. А если хочется послушать что-то ещё, приглашаю на подкаст "Статический анализ по серьёзному" с моим участием 27 мая в 19:00 по Москве.
Коллеги, рады поделиться с вами записью прошедшего вебинара - "Регулярный статический анализ по ГОСТу"!

Разобрали часть требований стандартов 56939-2024 и 71207-2024 в части регулярного статического анализа, объяснили, как выстроить этот самый регулярный статический анализ в рамках РБПО, автоматизировать его через системы CI и значительно ускорить пайплайн за счёт эффективных подходов. Рассказали, как интеграция анализа в процесс разработки поможет найти уязвимости раньше и сэкономить ресурсы команды.

Приятного просмотра!

#вебинар #видео
❤️ Сегодня отмечаем 30-летие Java!

В честь праздника предлагаем вам пройти квиз и проверить свои знания. Мы выбрали 10 фрагментов кода, в которых наш анализатор нашёл ошибки. Все они взяты из известных Open Source проектов. Удачи!

Пройди квиз по ссылке 🔗

#java #праздник
Please open Telegram to view this post
VIEW IN TELEGRAM
Друзья, приглашаем вас на новый вебинар про РБПО!

Вас ждет обзор комплекта разработчика для ОС Нейтрино с кроссплатформенными решениями для Linux и Windows, демонстрация интеграции PVS-Studio в Qt Creator для автоматического выявления ошибок, уязвимостей и соответствия стандартам (SAST, MISRA, CWE), практические кейсы с примерами работы инструментов в реальных проектах.

Будет интересно! Присоединяйтесь по ссылке!

#вебинар
Правильная работа с данными – основа любой задачи, с которой сталкивается программист. Проверим вас на знание основ в нашей викторине.

#термин
Завтра новый подкаст!
Forwarded from Ever Secure (Aleksey Fedulaev)
Созвон сообщества в Zoom 27.05 в 19:00
Гость выпуска: Андрей Карпов (Co-Founder PVS-Studio). Андрей более 17 лет занимается темами статического анализа кода и качества программного обеспечения. Автор большого количества статей, посвящённых написанию качественного кода на языке C++.
Тема: Статический анализ по серьёзному

Поговорим о развитии статических анализаторов, о ГОСТ Р 71207-2024 (что там внутри). О том как PVS-Studio под стандарт адаптировали и продолжают. Про испытания статических анализаторов под руководством ФСТЭК. И, конечно, ответим на вопросы зрителей.

Кому интересна тема РБПО, рекомендую ознакомиться с каналом Андрея - Бестиарий программирования, очень много полезной информации.

Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉

📹YT | 📺RT | 📺VK | 💰Bty
👀@ever_secure
Please open Telegram to view this post
VIEW IN TELEGRAM
В программировании есть полезные паттерны проектирования, а есть паттерны ошибок. Например, распространена ошибка доступа к элементу, находящемуся сразу после массива. Она даже имеет устоявшееся название "off-by-one error".

Но на предстоящем митапе речь пройдёт про типовые опечатки и то, как можно уменьшить вероятность их появления в коде 👍

Андрей Карпов выступит с докладом "Типовые опечатки в коде и как с ними бороться".

Где?
📍Тула, кластер Октава
🧑🏼‍💻Онлайн-трансляция

Когда?
🗓29.05 в 18:30

Ссылка на регистрацию тут 🔗

#мероприятия
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Никогда не задумывались о том, как работают уязвимости? Разбираемся в новом видео! 🔥

Попробовать PVS-Studio 30 дней можно по промокоду: https://pvs-studio.ru/taint_video

#видео #java
Please open Telegram to view this post
VIEW IN TELEGRAM
🎤Друзья, недавно мы вновь приняли участие в подкасте linkmeup! Спикером от нас был Андрей Карпов.

На подкасте поговорили о сложностях и особенностях разработки безопасного ПО в России. А также про ГОСТ, ФСТЭК и другие страшные слова.

Приятного прослушивания!


Кстати, у Андрея на канале сейчас можно почитать цикл полезных постов про РБПО 👈🏻

#подкаст
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡️Друзья, напоминаем о важном!

1 апреля 2024 года введён в действие новый ГОСТ "Статический анализ программного обеспечения".

В мини-книге от Андрея Карпова новый стандарт рассмотрен с практической точки зрения разработчиков инструментального средства PVS-Studio. Это не просто обзор инструмента, а глубокий разбор того, как PVS-Studio помогает соответствовать стандартам РБПО.

Получить мини-книгу в PDF-формате можно по ссылке 🔗

#PVS_Studio #ГОСТ
Please open Telegram to view this post
VIEW IN TELEGRAM
2025/05/29 10:11:52
Back to Top
HTML Embed Code: