Безопасность без боли: плагины, которые упрощают жизнь разработчикам

Привет, меня зовут Владислав Феофилактов, я разработчик команды интеграции продукта PT Application Inspector. В этой статье вместе с коллегой Даниилом Бакиным мы расскажем о безопасной разработке приложений, подходе shift left и о том, как сделать жизнь разработчиков и AppSec-специалистов проще, а продукты — более защищенными. Мы разберем основные проблемы безопасной разработки и расскажем, как плагины для IDE помогают решать эти проблемы. Если вы хотите узнать, как упростить работу с уязвимостями и ускорить процесс разработки, смело заглядывайте под кат!

https://habr.com/ru/companies/pt/articles/892696/

#ide #плагины_разработка #безопасная_разработка #appsec #application_inspector #ptai #shiftleft #анализатор_кода #линтер #ci

В преддверии испытаний статических анализаторов под руководством ФСТЭК России

В 2024 году вышел ГОСТ Р 71207 — Статический анализ программного обеспечения. Однако пользователям анализаторов сложно определять, насколько тот или иной инструмент соответствует критериям, изложенным в стандарте. Поэтому ФСТЭК России в 2025 году организует испытания статических анализаторов, результаты которых будут опубликованы в конце года. Ближайший этап — это выработка критериев оценки, и я решил предварительно изложить некоторые мысли по этой теме, которые, возможно, будут интересны жюри и участникам.

https://habr.com/ru/companies/pvs-studio/articles/883556/

#pvsstudio #статический_анализ_кода #анализатор_кода #SAST #static_code_analysis #фстэк #фстэк_россии #гост_р_712072024 #ГОСТ #си #си++ #c #cpp #csharp #java #критическая_ошибка

Пишем свои диагностические правила для анализатора Svace

Привет Хабр! Меня зовут Владислав Столяров, я руковожу группой анализа безопасности продуктов в компании МойОфис. Полгода назад я узнал, что в статическом анализаторе Svace можно создавать собственные диагностические правила. Это показалось мне очень любопытным. В статье я хочу поделиться своим неоднозначным опытом и рассказать о попытке реализовать такую кастомную диагностику. Но обо всём по порядку.

https://habr.com/ru/companies/ncloudtech/articles/870618/

#svace #анализатор #анализатор_кода #диагностика

Синтаксический анализатор — модифицированный Shunting Yard

Алгоритм синтаксического анализа кода на основе Shunting Yard — скажем "нет" рекурсии Преимущество модифицированного Shunting Yard над рекурсивным спуском заключается в его способности эффективно работать с более сложными синтаксическими конструкциями и грамматиками, которые не поддерживаются рекурсивным спуском. Благодаря использованию стеков для управления состояниями и операторами, алгоритм избегает проблем с глубокой рекурсией и может обрабатывать конструкции, требующие динамического изменения контекста. Это делает его более универсальным и производительным решением для построения абстрактного синтаксического дерева (AST) без ограничений на тип грамматик, характерных для рекурсивного спуска.

https://habr.com/ru/articles/844252/

#анализатор_кода #парсер #компилятор #интерпретатор #алгоритм #shunting_yard #дейкстра #ast #abstract_syntax_tree

Никому нельзя верить на слово в безопасной разработке, или Еще один взгляд на SCA

Захожу я в английский клуб. Там все сидят, выпивают, в карты играют. Смотрю — в очко режутся! Сел я за столик, взял карты. У меня — 18. А мой соперник говорит: «20». Я ему: «Покажи!». А он мне: «Мы, джентльмены, верим друг другу на слово». И вот тут-то мне поперло . Но в ИБ так не пройдет, нужна здоровая паранойя. Поэтому на слово не верим никому, в том числе и инструментам анализа, а сначала их проверяем. Читать

https://habr.com/ru/companies/pt/articles/808023/

#cybersecurity #безопасная_разработка #анализатор_кода #ci/cd #sca #уязвимость #appsec #приложения #log4shell #devsecops

Плагины IDE — простой способ войти в безопасную разработку. Без регистрации и СМС

Разработчики используют плагины каждый день, и их функциональность призвана упростить разработку, например, автоматически проверять проставление всех специальных символов (таких как «;», «:») или соблюдение синтаксиса. Они буквально были созданы для того, чтобы разработчики прямо во время написания кода могли осуществить его проверку на уязвимости и сразу исправлять их, не выходя из IDE. Давайте разберемся, какие бывают плагины и как с ними работать? Читать

https://habr.com/ru/companies/pt/articles/796295/

#код #уязвимости #приложения #безопасная_разработка #devsecops #devops #анализатор_кода #ide #sast #dast