Коллеги, уже несколько месяцев наша команда активно тестирует новую версию парсера, и мы достигли значительного прогресса. Благодаря отзывам пользователей, мы смогли выявить и устранить множество неточностей в работе анализатора.
Наша цель — создать максимально надёжный инструмент, поэтому мы продолжаем процесс тестирования и приглашаем вас присоединиться❤️
Все подробности по ссылке🔗
#PVS_Studio
Наша цель — создать максимально надёжный инструмент, поэтому мы продолжаем процесс тестирования и приглашаем вас присоединиться
Все подробности по ссылке
#PVS_Studio
Please open Telegram to view this post
VIEW IN TELEGRAM
Тема: Регулярный статический анализ по ГОСТу
На вебинаре разберём часть требований стандартов 56939-2024 и 71207-2024 в части регулярного статического анализа, как выстроить этот самый регулярный статический анализ в рамках РБПО, автоматизировать его через системы CI и значительно ускорить пайплайн за счёт эффективных подходов. Узнайте, как интеграция анализа в процесс разработки помогает находить уязвимости раньше и экономить ресурсы команды!
Ссылка на регистрацию
#вебинар
Please open Telegram to view this post
VIEW IN TELEGRAM
Друзья, рады предоставить вам подборку Telegram-каналов про разработку. Вас ждут каналы про языки C++, C# и Java 👍
Если хотите прокачать скиллы или просто читать годный контент — загляните в статью!
#статья #cpp #csharp #java
Если хотите прокачать скиллы или просто читать годный контент — загляните в статью!
#статья #cpp #csharp #java
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Подборка авторских Telegram-каналов про разработку
Приветствую, Хабр. На связи агент того самого анализатора, и сегодня я предлагаю вам изучить Telegram-каналы крутых айтишников, которые познали себя не только в коде, но и блогинге. Надеюсь, они...
Forwarded from Бестиарий программирования
Тяжела и неказиста жизнь простого программиста статических анализаторов кода
Команда PVS-Studio, содействуя разработке методики испытаний статических анализаторов под руководством ФСТЭК, составляла некоторые синтетические тесты. Писать синтетические тесты сложнее, чем кажется, и с их достоверностью всегда масса нюансов. Я никогда не любил синтетические тесты и продолжаю их не любить. Но что делать, они тоже нужны, когда речь заходит о необходимости подтвердить, что в анализаторах реализован определённый набор технологий.
Даже зная и понимая нюансы составления синтетических тестов, мы всё равно наступили на собственные грабли! Переиграли сами себя :)
Есть составленные нами тесты, в которых в функцию
Когда тесты подготавливались в Compiler Explorer, всё работало: PVS-Studio выдавал предупреждение V1057. А сейчас, когда код мило и скромно лежит в файлах, не работает. На Compiler Explorer работает, а вне — нет. Магия. Уже собрались баг в анализаторе искать.
Ах нет, всё просто. Файлы с тестами называются
Зачем такое исключение? При разработке анализатора самое важно состоит не в том, чтобы выдать предупреждение, а в том, чтобы постараться не выдать лишнее. У всех анализаторов ложноположительных срабатываний всегда больше, чем хочется.
При экспертизе коллекции проектов стало ясно, что если это файлы с тестами, то писать
Был рад поведать немного интересного из жизни разработчиков статических анализаторов кода. А если хочется послушать что-то ещё, приглашаю на подкаст "Статический анализ по серьёзному" с моим участием 27 мая в 19:00 по Москве.
Команда PVS-Studio, содействуя разработке методики испытаний статических анализаторов под руководством ФСТЭК, составляла некоторые синтетические тесты. Писать синтетические тесты сложнее, чем кажется, и с их достоверностью всегда масса нюансов. Я никогда не любил синтетические тесты и продолжаю их не любить. Но что делать, они тоже нужны, когда речь заходит о необходимости подтвердить, что в анализаторах реализован определённый набор технологий.
Даже зная и понимая нюансы составления синтетических тестов, мы всё равно наступили на собственные грабли! Переиграли сами себя :)
Есть составленные нами тесты, в которых в функцию
srand
или её аналог передаётся константное значение. Это приводит к тому, что функция rand
каждый раз будет генерировать одинаковую последовательность псевдослучайных чисел. Такой код, согласно ГОСТ Р 71207-2024, п. 6.3.г, может являться ошибкой некорректного использования системных процедур и интерфейсов, связанных с обеспечением информационной безопасности (шифрования, разграничения доступа и пр.).Когда тесты подготавливались в Compiler Explorer, всё работало: PVS-Studio выдавал предупреждение V1057. А сейчас, когда код мило и скромно лежит в файлах, не работает. На Compiler Explorer работает, а вне — нет. Магия. Уже собрались баг в анализаторе искать.
Ах нет, всё просто. Файлы с тестами называются
test_err_*.cpp
. И в детекторе срабатывает исключение N4: "Находимся в файле, содержащем в названии слова check/test/bench". Тьфу. Причём получается, что анализатор прав: это действительно тест, а не настоящий баг :) Вот оно, несовпадение реальности и синтетических проверок в действии. Выкрутимся как-нибудь, но решил описать, так как случай интересный.Зачем такое исключение? При разработке анализатора самое важно состоит не в том, чтобы выдать предупреждение, а в том, чтобы постараться не выдать лишнее. У всех анализаторов ложноположительных срабатываний всегда больше, чем хочется.
При экспертизе коллекции проектов стало ясно, что если это файлы с тестами, то писать
srand(константа)
абсолютно нормально. Более того, так специально делают, чтобы тесты вели себя повторяемо от запуска к запуску. Вот и было принято решение сделать соответствующее исключение. Теоретически это может скрыть реальную ошибку, но на практике в большой коллекции проектов, на котором мы прогоняем новые диагностические правила, такого не было. Зато в юнит-тестах этих проектов такое встречалось часто, и, соответственно, предупреждение оказывалось бессмысленным.Был рад поведать немного интересного из жизни разработчиков статических анализаторов кода. А если хочется послушать что-то ещё, приглашаю на подкаст "Статический анализ по серьёзному" с моим участием 27 мая в 19:00 по Москве.
Коллеги, рады поделиться с вами записью прошедшего вебинара - "Регулярный статический анализ по ГОСТу"!
Разобрали часть требований стандартов 56939-2024 и 71207-2024 в части регулярного статического анализа, объяснили, как выстроить этот самый регулярный статический анализ в рамках РБПО, автоматизировать его через системы CI и значительно ускорить пайплайн за счёт эффективных подходов. Рассказали, как интеграция анализа в процесс разработки поможет найти уязвимости раньше и сэкономить ресурсы команды.
Приятного просмотра!
#вебинар #видео
Разобрали часть требований стандартов 56939-2024 и 71207-2024 в части регулярного статического анализа, объяснили, как выстроить этот самый регулярный статический анализ в рамках РБПО, автоматизировать его через системы CI и значительно ускорить пайплайн за счёт эффективных подходов. Рассказали, как интеграция анализа в процесс разработки поможет найти уязвимости раньше и сэкономить ресурсы команды.
Приятного просмотра!
#вебинар #видео
PVS-Studio
Регулярный статический анализ по ГОСТу
Разобрали часть требований стандартов 56939-2024 и 71207-2024 в части регулярного статического анализа, объяснили, как выстроить этот самый регулярный статический анализ в рамках РБПО, автоматизировать его через системы CI и значительно ускорить пайплайн…
В честь праздника предлагаем вам пройти квиз и проверить свои знания. Мы выбрали 10 фрагментов кода, в которых наш анализатор нашёл ошибки. Все они взяты из известных Open Source проектов. Удачи!
Пройди квиз по ссылке
#java #праздник
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡Друзья, приглашаем вас на новый вебинар про РБПО!
Вас ждет обзор комплекта разработчика для ОС Нейтрино с кроссплатформенными решениями для Linux и Windows, демонстрация интеграции PVS-Studio в Qt Creator для автоматического выявления ошибок, уязвимостей и соответствия стандартам (SAST, MISRA, CWE), практические кейсы с примерами работы инструментов в реальных проектах.
Будет интересно! Присоединяйтесь по ссылке!
#вебинар
Вас ждет обзор комплекта разработчика для ОС Нейтрино с кроссплатформенными решениями для Linux и Windows, демонстрация интеграции PVS-Studio в Qt Creator для автоматического выявления ошибок, уязвимостей и соответствия стандартам (SAST, MISRA, CWE), практические кейсы с примерами работы инструментов в реальных проектах.
Будет интересно! Присоединяйтесь по ссылке!
#вебинар
Правильная работа с данными – основа любой задачи, с которой сталкивается программист. Проверим вас на знание основ в нашей викторине.
#термин
#термин
Это серия докладов про новый ГОСТ Р 56939-202. В первой части разбираем причины разработки и выпуска этой версии ГОСТа. Приятного просмотра! 👍
Telegram-канал Андрея Карпова
#видео
Telegram-канал Андрея Карпова
#видео
Please open Telegram to view this post
VIEW IN TELEGRAM
VK Видео
Причины разработки и выпуска нового ГОСТ Р 56939-2024 на замену версии 2016 года
Это серия докладов про новый ГОСТ Р 56939-202. В первой части разбираем причины разработки и выпуска этой версии ГОСТа. Полезные ссылки: 1. AppSec Table Top: методология безопасной разработки от Positive Technologies: https://static.ptsecurity.com/docs/knowledge…
Forwarded from Ever Secure (Aleksey Fedulaev)
Созвон сообщества в Zoom 27.05 в 19:00
Гость выпуска: Андрей Карпов (Co-Founder PVS-Studio). Андрей более 17 лет занимается темами статического анализа кода и качества программного обеспечения. Автор большого количества статей, посвящённых написанию качественного кода на языке C++.
Тема: Статический анализ по серьёзному
Поговорим о развитии статических анализаторов, о ГОСТ Р 71207-2024 (что там внутри). О том как PVS-Studio под стандарт адаптировали и продолжают. Про испытания статических анализаторов под руководством ФСТЭК. И, конечно, ответим на вопросы зрителей.
Кому интересна тема РБПО, рекомендую ознакомиться с каналом Андрея - Бестиарий программирования, очень много полезной информации.
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
📹 YT | 📺 RT | 📺 VK | 💰 Bty
👀 @ever_secure
Гость выпуска: Андрей Карпов (Co-Founder PVS-Studio). Андрей более 17 лет занимается темами статического анализа кода и качества программного обеспечения. Автор большого количества статей, посвящённых написанию качественного кода на языке C++.
Тема: Статический анализ по серьёзному
Поговорим о развитии статических анализаторов, о ГОСТ Р 71207-2024 (что там внутри). О том как PVS-Studio под стандарт адаптировали и продолжают. Про испытания статических анализаторов под руководством ФСТЭК. И, конечно, ответим на вопросы зрителей.
Кому интересна тема РБПО, рекомендую ознакомиться с каналом Андрея - Бестиарий программирования, очень много полезной информации.
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
В программировании есть полезные паттерны проектирования, а есть паттерны ошибок. Например, распространена ошибка доступа к элементу, находящемуся сразу после массива. Она даже имеет устоявшееся название "off-by-one error".
Но на предстоящем митапе речь пройдёт про типовые опечатки и то, как можно уменьшить вероятность их появления в коде👍
Андрей Карпов выступит с докладом "Типовые опечатки в коде и как с ними бороться".
Где?
📍Тула, кластер Октава
🧑🏼💻Онлайн-трансляция
Когда?
🗓29.05 в 18:30
Ссылка на регистрацию тут🔗
#мероприятия
Но на предстоящем митапе речь пройдёт про типовые опечатки и то, как можно уменьшить вероятность их появления в коде
Андрей Карпов выступит с докладом "Типовые опечатки в коде и как с ними бороться".
Где?
📍Тула, кластер Октава
🧑🏼💻Онлайн-трансляция
Когда?
🗓29.05 в 18:30
Ссылка на регистрацию тут
#мероприятия
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Никогда не задумывались о том, как работают уязвимости? Разбираемся в новом видео! 🔥
Попробовать PVS-Studio 30 дней можно по промокоду: https://pvs-studio.ru/taint_video
#видео #java
Попробовать PVS-Studio 30 дней можно по промокоду: https://pvs-studio.ru/taint_video
#видео #java
Please open Telegram to view this post
VIEW IN TELEGRAM
На подкасте поговорили о сложностях и особенностях разработки безопасного ПО в России. А также про ГОСТ, ФСТЭК и другие страшные слова.
Приятного прослушивания!
Кстати, у Андрея на канале сейчас можно почитать цикл полезных постов про РБПО 👈🏻
#подкаст
Please open Telegram to view this post
VIEW IN TELEGRAM
PVS-Studio
Подкаст linkmeup | sysadmins №58. РБПО | Андрей Карпов
Поговорим о сложностях и особенностях разработки безопасного ПО в России. Какие ГОСТ за это отвечают, какие есть старые и новые стандарты. При чём тут ФСТЭК и анализатор кода PVS-Studio. Какие методики оценки есть у РБПО и как написать действительно безопасное…
1 апреля 2024 года введён в действие новый ГОСТ "Статический анализ программного обеспечения".
В мини-книге от Андрея Карпова новый стандарт рассмотрен с практической точки зрения разработчиков инструментального средства PVS-Studio. Это не просто обзор инструмента, а глубокий разбор того, как PVS-Studio помогает соответствовать стандартам РБПО.
Получить мини-книгу в PDF-формате можно по ссылке
#PVS_Studio #ГОСТ
Please open Telegram to view this post
VIEW IN TELEGRAM