Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024)

ГОСТ Р 71207-2024 "Статический анализ кода" выделят класс дефектов в коде, называемых критическими ошибками. При разработке безопасного программного обеспечения (РБПО) такие дефекты должны в обязательном порядке выявляться и исправляться в приоритетном режиме. Статический анализатор PVS-Studio разрабатывается с учётом этого стандарта и позволяет выявлять все типы критических ошибок в коде программ, написанных на языках C, C++, C#, Java. Рассмотрим эти типы предупреждений и как их можно выделить среди других предупреждений, выдаваемых анализатором.

https://habr.com/ru/companies/pvs-studio/articles/919456/

#pvsstudio #статический_анализ_кода #фстэк #гост_р_712072024 #C #C++ #c# #java #рбпо #программирование

Как манул единорога в горы водил: запускаем PVS-Studio на российских процессорах Эльбрус

- Зачем идете в горы вы? Ведь Эльбрус и с самолета видно здорово! Приветствую! Я Владислав Щапов и я обожаю манулов. А еще я разработчик в компании НИЦ ЦТ , которая разрабатывает операционную систему для российских процессоров Эльбрус. Одной из моих рабочих задач было провести тестирование статического анализатора PVS-Studio для проверки С и С++ кода на Эльбрусе. Эта задачка была непростой и очень напомнила мне восхождение на гору, когда за каждым пройденным испытанием сразу возникает какой-то новый вызов. Но манулы не сдаются!

https://habr.com/ru/companies/nic_ct/articles/915902/

#c++ #pvsstudio #статический_анализ_кода #эльбрус #linux

Необходимость статического анализа для РБПО на примере 190 багов в TDengine

Одна из важнейших составляющих безопасной разработки программного обеспечения — это статический анализ кода. Он позволяет выявить ошибки и потенциальные уязвимости на ранних этапах разработки ПО, что сокращает стоимость их исправления. Но что ещё важнее, он позволяет выявить те проблемы и дефекты безопасности, о которых разработчики даже не подозревают.

https://habr.com/ru/companies/pvs-studio/articles/907674/

#рбпо #статический_анализ_кода #sast #информационная_безопасность #iot #iot_разработка #pvsstudio #ГОСТ_Р_569392024 #гост_р_56939 #гост_р_712072024 #разработка_безопасного_по #TDengine

Учимся рефакторить код на примере багов в TDengine, часть 3: плата за лень

Проверяя код проекта TDengine с помощью PVS-Studio, можно встретить код с запахом, канонические ошибки и опечатки. Многое из этого можно избежать, если изначально аккуратно оформлять код, делать логику простой и избегать макросов. Давайте рассмотрим некоторые фрагменты кода и подумаем, как можно провести его рефакторинг так, чтобы багам просто не было там места. В этот раз поговорим про написание кода методом Copy-Paste . С одной стороны, программисты знают, что копирование кода с последующей его модификацией провоцирует ошибки и опечатки. С другой — набирать каждый раз фрагмент кода, похожий на уже написанный, скучно и непродуктивно. Здесь важно соблюдать некий баланс, который сложно сформулировать и понимание которого приходит с опытом.

https://habr.com/ru/companies/pvs-studio/articles/895978/

#си #си++ #статический_анализ_кода #программирование #рефакторинг #c #c++ #sast #static_code_analysis #TDengine #code_review #refactoring #bugs #баги #ошибки_в_коде

Учимся рефакторить код на примере багов в TDengine, часть 2: макрос, пожирающий стек

Проверяя код проекта TDengine с помощью PVS-Studio, можно встретить код с запахом, канонические ошибки и опечатки. Многое из этого можно избежать, если изначально аккуратно оформлять код, делать логику простой и избегать макросов. Давайте рассмотрим некоторые фрагменты кода и подумаем, как можно провести его рефакторинг так, чтобы багам просто не было там места.

https://habr.com/ru/companies/pvs-studio/articles/891850/

#c #cpp #си #си++ #pvsstudio #рефакторинг #информационная_безопасность #sast #alloca #сортировка_пузырьком #качество_кода #статический_анализ_кода #обзор_кода

Учимся рефакторить код на примере багов в TDengine, часть 1: про колбасу

Проверяя код проекта TDengine с помощью PVS-Studio, можно встретить канонические ошибки и опечатки. Многих из них можно избежать, если изначально аккуратно оформлять код, делать логику простой и избегать макросов. Давайте посмотрим на эти ошибки и подумаем, как можно повести рефакторинг кода так, чтобы им просто не было там места.

https://habr.com/ru/companies/pvs-studio/articles/888060/

#c #c++ #sast #pvsstudio #статический_анализ_кода #рефакторинг #программирование #TDengine

В преддверии испытаний статических анализаторов под руководством ФСТЭК России

В 2024 году вышел ГОСТ Р 71207 — Статический анализ программного обеспечения. Однако пользователям анализаторов сложно определять, насколько тот или иной инструмент соответствует критериям, изложенным в стандарте. Поэтому ФСТЭК России в 2025 году организует испытания статических анализаторов, результаты которых будут опубликованы в конце года. Ближайший этап — это выработка критериев оценки, и я решил предварительно изложить некоторые мысли по этой теме, которые, возможно, будут интересны жюри и участникам.

https://habr.com/ru/companies/pvs-studio/articles/883556/

#pvsstudio #статический_анализ_кода #анализатор_кода #SAST #static_code_analysis #фстэк #фстэк_россии #гост_р_712072024 #ГОСТ #си #си++ #c #cpp #csharp #java #критическая_ошибка

Java, Taint и SAST: что это и зачем, и причём здесь ГОСТ 71207

На Java пишется огромное количество серверного кода. Отсюда следует, что написанные на ней веб-приложения должны быть устойчивы к специальным уязвимостям. И эта небольшая статья как раз про один из способов борьбы с ними — SAST. И ещё про то, что такое taint-анализ и как он во всём этом участвует.

https://habr.com/ru/companies/pvs-studio/articles/876890/

#java #sast #статистический_анализ #статический_анализ_кода #pvsstudio #taint_analysis #гост #информационная_безопасность #уязвимости #уязвимости_и_их_эксплуатация

PVS-Studio соответствует требованиям ГОСТ Р 71207—2024 (статический анализ программного обеспечения)

Инструментальное средство PVS-Studio разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207–2024, выявляет критические ошибки и может использоваться при разработке безопасного программного обеспечения. Рассмотрим функциональные возможности, реализованные в PVS-Studio на конец 2024 года в отношении анализа исходного кода программного обеспечения, написанного на компилируемых языках программирования C, C++, C#, Java.

https://habr.com/ru/companies/pvs-studio/articles/868578/

#pvsstudio #информационная_безопасность #статический_анализ_кода #ГОСТ_Р_712072024 #ГОСТ_Р_71207 #ГОСТ_Р_56939 #SAST #c #c++ #java #c# #си #си++ #static_code_analysis #анализ_программы #анализ_потоков_данных #контекстночувствительный_анализ #критические_ошибки #CWE #SARIF #РБПО #разработка_безопасного_ПО #использование_чувствительных_данных

Как ускорить проверку приложения с помощью Impact-анализа: Часть 1 — Статические анализаторы

Когда команда растёт, а кодовая база стремительно увеличивается, время выполнения проверок может стать настоящей проблемой. Unit-тесты, UI-тесты, статический анализ — все эти процессы начинают занимать слишком много времени, замедляя разработку. Звучит знакомо? В этой статье я поделюсь опытом нашей команды в Циан: расскажу, как мы перешли от полного выполнения всех проверок к выборочному запуску, снизив их длительность. И почему сделать это проще, чем кажется. Если вы считаете, что выборочный запуск статических анализаторов — это сложно и дорого в поддержке, я покажу, как обойтись всего 200 строками кода. Хочется запускать проверки только там, где это действительно нужно, и ускорить работу своей команды? Тогда читайте дальше.

https://habr.com/ru/companies/cian/articles/861922/

#разработка_под_android #программирование #разработка_мобильных_приложений #разработка_мобильного_приложения #мануал #impact_analysis #detekt #статический_анализ_кода #ускорение_разработки