The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.03.2017 23:30  Использование PVS-Studio для поиска дефектов безопасности (реклама)

Разработчики PVS-Studio, коммерческого статического анализатора кода на языках C, C++ и C#, выступили с инициативой выявления в открытых проектах ошибок, которые могут привести к возникновению уязвимостей. Для упрощения анализа подобных ошибок составлена таблица соответствия предупреждений PVS-Studio и идентификаторов CWE (Common Weakness Enumeration), определяющих типовые ошибки, которые могут привести к появлению уязвимостей. Для примера продемонстрировано несколько предупреждений в Apache httpd, которые потенциально представляют угрозу безопасности.

Анализатор PVS-Studio всегда умел искать слабые места (потенциальные уязвимости) в коде программ, но исторически сложилось, что PVS-Studio позиционировался как инструмент для поиска ошибок, а не потенциальных уязвимостей. Станет та или иная ошибка в коде причиной уязвимости зависит от множества различных факторов - дефект иногда можно эксплуатировать, а иногда нет, как повезёт. Существенно то, что, устраняя ошибки, описанные в CWE, программист заранее защищает код от множества уязвимостей.

Команда разработчиков PVS-Studio заинтересовалась устранением потенциальных уязвимостей в различных проектах и решила отражать отдельные мероприятия по поиску уязвимостей в виде небольших еженедельных отчётов. В первом таком отчёте разработчики PVS-Studio написали о дефектах в C# проектах (CoreFX, MSBuild). Второй отчёт более интересен сообществу программистов на C и C++, и рассматривает потенциальные проблемы с безопасностью в таких проектах как FreeBSD, GCC и Clang. Как результат, разработчикам проверенных проектов направлены патчи или заведены сообщения о проблемах.

Дополнительно можно отметить новую статью о том, как и почему статические анализаторы борются с ложными срабатываниями.

  1. Главная ссылка к новости (https://www.viva64.com/ru/b/04...)
  2. OpenNews: Рейтинг самых опасных ошибок при создании программ
  3. OpenNews: Статический анализатор PVS-Studio доступен для Linux (реклама)
  4. OpenNews: Отчёт о разработке Linux-версии PVS-Studio и результаты проверки LLVM (реклама)
  5. OpenNews: PVS-Studio доступен для бесплатного использования открытыми проектами (реклама)
  6. OpenNews: Методы работы и история возникновения анализатора кода PVS-Studio (реклама)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: pvs-studio
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:16, 21/03/2017 [ответить] [смотреть все]
  • +1 +/
    когда будет релиз для линукс без регистрации?
     
     
  • 2.2, Sunderland93, 00:18, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +5 +/
    И под свободной лицензией
     
     
  • 3.3, Аноним, 00:51, 21/03/2017 [^] [ответить] [смотреть все]
  • +4 +/
    Осталось скинуться на постоянную з.п. команде PVS.
     
     
  • 4.10, Анонидзе, 07:12, 21/03/2017 [^] [ответить] [смотреть все]
  • +1 +/
    На Patreon пусть идут
     
     
  • 5.13, iPony, 08:14, 21/03/2017 [^] [ответить] [смотреть все]
  • –3 +/
    Там программисты не в почете В основном же для художников https www patreon c... весь текст скрыт [показать]
     
     
  • 6.28, Анончик, 11:57, 21/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Везде своих сраных пони суёшь. Тебе сколько лет? Не стыдно хоть?
     
  • 3.7, Аноним, 04:03, 21/03/2017 [^] [ответить] [смотреть все]  
  • +/
    коммунизм уже наступил если нет, то играем в капитализм с проприетарными лиценз... весь текст скрыт [показать]
     
     
  • 4.14, Аноним, 08:22, 21/03/2017 [^] [ответить] [смотреть все]  
  • +/
    это не капитализм
     
  • 4.20, Человек, 09:47, 21/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    В мире ПО давно уже наступил Хотя M со своими прихлебателями опять опоздали О... весь текст скрыт [показать]
     
     
  • 5.23, iPony, 09:52, 21/03/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Оно работает там, где работает А это в основном серверно девелоперские штучки ... весь текст скрыт [показать]
     
     
  • 6.25, Человек, 10:17, 21/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Я говорю конкретно про тех, кто вносил вклад Они могут использовать QtWebKit и ... весь текст скрыт [показать]
     
     
  • 7.33, angra, 15:49, 21/03/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    А те, кто вносил вклад в FreeBSD, они могут свободно использовать игровые приста... весь текст скрыт [показать]
     
     
  • 8.39, Аноним, 17:05, 21/03/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    > А те, кто вносил вклад в FreeBSD, они могут свободно использовать игровые
    > приставки, сделанные на его основе? Что там с удовлетворением их потребностей?

    Опять лапчатые c гордо надутыми щечками понабежали. Как будто вебкит/блинк или файрфокс c тандербирдом под чистым ГПЛ.


     
     
  • 9.50, Vkni, 07:35, 22/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Это неважно Главное, чтобы код не растаскивали по углам ГПЛ - это просто инстр... весь текст скрыт [показать]
     
  • 8.47, torvn77, 07:17, 22/03/2017 [^] [ответить] [смотреть все]  
  • +/
    BSD это не копилефт, так что идут лесом.
     
  • 8.55, Клыкастый, 12:21, 22/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А те, кто внёс вклад в GPL код машинки для выпечки блинчиков могут претендовать ... весь текст скрыт [показать]
     
     
  • 9.67, torvn77, 13:00, 24/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Коммунизм построен в отдельно взятом секторе производства и потребления, а не во... весь текст скрыт [показать]
     
     
  • 10.68, Клыкастый, 13:16, 24/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Коммунизм это как раз BSD А если ответить на заданный вопрос ... весь текст скрыт [показать]
     
     
  • 11.69, Andrey Mitrofanov, 13:21, 24/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Эти - в другом секторе Не в том, где Вы покупаете уиндоузы, жуниперы и грайстан... весь текст скрыт [показать]
     
     
  • 12.71, Клыкастый, 14:04, 24/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Мы не покупаем Но то, что для тебя факты не имеют значения мы тоже понимаем ... весь текст скрыт [показать]
     
     
  • 13.73, Andrey Mitrofanov, 14:15, 24/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А чего так, Вам их за так в столовке раздают или таки не заработали в своём сект... весь текст скрыт [показать]
     
     
  • 14.74, Клыкастый, 18:32, 24/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > А чего так,

    Нет необходимости.

    > Вам их за так в столовке раздают

    Вам же раздают? Нам так же.

    > Или вы хотите сказать, что свобода писать код

    В тексте BSD лицензии всё сказано. Как говорится, ни добавить, ни убавить.

     
  • 6.49, Vkni, 07:30, 22/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну разумеется Невозможно взять в коммунизм всех, включая тех, кто не может нич... весь текст скрыт [показать]
     
  • 5.32, angra, 15:46, 21/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Разве что в варианте, сформулированом Гени Фордом any color you like as long a... весь текст скрыт [показать]
     
     
  • 6.41, Аноним, 18:09, 21/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А убедить разработчика, скооперироваться с единомышленниками на поощрение разраб... весь текст скрыт [показать]
     
     
  • 7.51, Человек, 10:01, 22/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот, например, товарищ Столлман засучил рукава и пошел самолично фигарить код Т... весь текст скрыт [показать]
     
  • 6.43, тоже Аноним, 22:48, 21/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Вы неверно понимаете озвученный принцип Каждому - по потребностям - это не де... весь текст скрыт [показать]
     
  • 6.52, Человек, 10:09, 22/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Вообще, конечно, долго При ограниченном количестве ресурсов у человека срабатыв... весь текст скрыт [показать]
     
  • 5.76, Аноним, 12:54, 26/03/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Гугл не раскрывает код своей ключевой инфраструктуры на которой она делает основ... весь текст скрыт [показать]
     
  • 1.4, Аноним, 00:54, 21/03/2017 [ответить] [смотреть все]  
  • +2 +/
    Если релизнут под свободной лицензией, команда разработки умрет с голоду нет, я... весь текст скрыт [показать]
     
     
  • 2.5, Admino, 01:04, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Почему?
     
  • 2.11, Аноним, 08:00, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Как поживает нежить в Редхате?
     
     
  • 3.15, llolik, 08:44, 21/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А RedHat деньги печатает или всё-таки зарабатывает Коммерческие услуги и коммер... весь текст скрыт [показать]
     
     
  • 4.22, Илья, 09:51, 21/03/2017 [^] [ответить] [смотреть все]  
  • +/
    че?
     
     
  • 5.26, llolik, 10:34, 21/03/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Ну товарищ, которому я ответил считает, как я понимаю, что Red Hat занимается ис... весь текст скрыт [показать]
     
     
  • 6.65, DummyBoy, 14:33, 23/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Именно поэтому Red Hat делает всё от него зависящее, чтобы подмять фактический к... весь текст скрыт [показать]
     
     
  • 7.66, llolik, 15:53, 23/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну, как говориться, кто девушку танцует, тот её и ужинает Red Hat делает то, ... весь текст скрыт [показать]
     
  • 1.8, Аноним, 04:07, 21/03/2017 [ответить] [смотреть все]  
  • –1 +/
    Зачем предлагать C#?!? не unix-way!

    Ждем сборку для macOS и *BSD.

     
     
  • 2.9, Аноним, 06:03, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    наверное поэтому оно находит ошибки в коде?
     
  • 2.21, iPony, 09:49, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    На unix не unix-way плевать Хотя наличие статического анализатора для C слегка... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Илья, 10:02, 21/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Действительно, зачем нужно анализировать код c если его можно откомпилять и про... весь текст скрыт [показать]
     
  • 3.48, Vkni, 07:22, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну даже для Хаскеля есть hlint Анализатор, всё-таки, в отличие от компилятора, ... весь текст скрыт [показать]
     
  • 1.16, Аноним, 08:46, 21/03/2017 [ответить] [смотреть все]  
  • –3 +/
    Есть valgrind, а остальное - пустая трата процессорного времени.
     
     
  • 2.17, llolik, 09:05, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    т е разницы между статическим и динамическим анализом нет Вот прямо совсем нет... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, Andrey_Karpov, 09:23, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    У меня есть статья на эту тему. Valgrind - это хорошо, но недостаточно: https://www.viva64.com/ru/b/0278/

    Совсем кратко. Есть ошибки, которые нельзя найти динамическими анализаторами (valgrind), но можно найти статическими анализаторами. И наоборот. Поэтому, эти два подхода не конкурируют между собой, а дополняют друг друга.

     
  • 1.27, Аноним, 11:37, 21/03/2017 [ответить] [смотреть все]  
  • +/
    Посмотрел статью по ссылке, молодцы ребята По каждому приведённому случаю завел... весь текст скрыт [показать]
     
     
  • 2.34, Аноним, 16:07, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    а если посмотреть внимательнее - они часто вываливают проекту тонну false positi... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, Andrey_Karpov, 16:49, 21/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Не очень понятно, про что Вы Возможно про статьи о проверке открытых проектов ... весь текст скрыт [показать]
     
     
  • 4.53, Онанимус, 10:36, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А Вы wireguard не проверяли Не нашел информации Криптографы его проверяли, еще... весь текст скрыт [показать]
     
     
  • 5.54, Andrey_Karpov, 11:03, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Нет не проверяли Быть может проверим P S Рекомендую всем отписывать сюда про ... весь текст скрыт [показать]
     
     
  • 6.61, Moomintroll, 18:12, 22/03/2017 [^] [ответить] [смотреть все]  
  • +/
    А где-же самое очевидное - linux kernel ... весь текст скрыт [показать]
     
     
  • 7.62, Andrey_Karpov, 19:25, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Уже пару раз было https www viva64 com ru inspections ID0EGAAC Как-нибудь ещ... весь текст скрыт [показать]
     
  • 3.42, Аноним, 18:54, 21/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Я к тому и говорю, что люди меняются Сейчас они действуют лучше, чем раньше Ду... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.30, Аноним, 12:38, 21/03/2017 [ответить] [смотреть все]  
  • –3 +/
    5 стадий принятия неизбежного 1 Отрицание 2 Гнев 3 Торг 4 Депрессия 5 ... весь текст скрыт [показать]
     
     
  • 2.36, Аноним, 16:36, 21/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это закрытый продукт и в дистрибутивах он не появится по-умолчанию Вывод неизб... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Аноним, 17:01, 21/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Неизбежное - становление нормой технологий, которые ранее вызывали адовый батт... весь текст скрыт [показать]
     
     
  • 4.40, KonstantinB, 17:26, 21/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Люди взрослеют и перестают быть упертыми идеалистами Это естественный процесс ... весь текст скрыт [показать]
     
  • 4.44, Sluggard, 23:45, 21/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Баттхёрт вызывали не технологии, а весьма навязчивый самопиар.
     
     
  • 5.56, Аноним, 12:22, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Пиар не изменился, а отношение к продукту изменилось.
     
  • 5.58, Клыкастый, 12:34, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Пиарят-то они разработку, а не пустое место Вокруг их статей, помеченных как ре... весь текст скрыт [показать]
     
  • 3.46, Аноним, 06:49, 22/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    ArchLinux будет в Aur
     
  • 2.57, Клыкастый, 12:28, 22/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Основная проблема анонимов - сверхобобщения Если проблема в дистре - так это об... весь текст скрыт [показать] [показать ветку]
     
  • 1.59, adolfus, 15:49, 22/03/2017 [ответить] [смотреть все]  
  • –1 +/
    C11 и С++14 на каком уровне поддерживаются? Можете конкретно ответить по возможностям?
    - alignas
    - alignof
    - списки инициализации
    - wchar_t
    - строки литералов
    - масивы переменных размеров
    - C-препроцессор
    - constexpressions
    - extern templates
    - наследование конструкторов
    - atomic'сы


     
     
  • 2.60, Andrey_Karpov, 16:51, 22/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    - С11 - достаточно хорошо, в той степени, что не видим никаких проблем при анал... весь текст скрыт [показать] [показать ветку]
     
  • 1.75, Andrey_Karpov, 19:26, 24/03/2017 [ответить] [смотреть все]  
  • –1 +/
    Дефекты безопасности, которые устранила команда PVS-Studio на этой неделе: выпуск N3 - https://www.viva64.com/ru/b/0491/
     
  • 1.77, Аноним, 12:59, 26/03/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Дефекты безопасности -- прям новый термин придумали F Столько комментов насч... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList