forum.opennet.ru

"Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fu..."	–2 +/–
Сообщение от Andrey_Karpov (ok), 09-Май-17, 16:16
> объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей > в коде "возможно приводящих к потенциальным уязвимостям"? > это там какой то особо прокачаный libastral, или же есть какие то > конкретные правила написания кода ? Я понимаю это так. Инструмент находит ошибки. Для начала не важно какие. Важно потом классифицировать их. Считается, что некоторые ошибки могут эксплуатироваться. Так, Амит Йоран (начальник отдела национальной кибербезопасности США) считает, что около 95% всех дефектов программ, относящихся к безопасности, проистекает из 19 типичных ошибок (переполнение буфера, переполнение целых чисел, пренебрежение обработкой ошибок и т.д.). В общем, ошибки, которые как считается, могут привести к уязвимостям, классифицированы в CWE: https://cwe.mitre.org/ Если вы находите ошибку, которая классифицируется согласно CWE, то значит вы нашли потенциальную уязвимость. Может эта ошибка стать настоящей уязвимостью (CVE - https://cve.mitre.org/) зависит от многих обстоятельств (везения). Анализатор PVS-Studio кстати тоже находит многие ошибки, перечисленные в CWE: https://www.viva64.com/ru/b/0486/ Т.е. PVS-Studio позволяет выявлять и устранить многие потенциальные уязвимости и не стоит недооценивать эту возможность.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz, opennews, 09-Май-17, 11:08 [смотреть все]

Что на это ответит пивас-студия , Аноним, 09-Май-17, 11:08 (1) //
- Придумает еще более идиотское пользовательское соглашение , Аноним, 09-Май-17, 11:23 (2) //
  - Платишь деньги - пользуешься Что с ним не так , Andrey_Karpov, 09-Май-17, 12:36 (10) //
    - Что и перья в зaдницy зачеркнуто комментарии в код вставлять необязательно , Аноним, 09-Май-17, 17:15 (31)
      - Если что, это был вопрос , Аноним, 09-Май-17, 17:17 (34)
      - Тем, кто приобрёл лицензию, естественно никакие комментарии вставлять не надо Ко, Andrey_Karpov, 09-Май-17, 17:42 (37)
        
        Юный анонимус опеннета считает, что ему все должны и бесплатно до тех пор, пока , kai3341, 09-Май-17, 18:04 (40)
        
        По моему опыту о бабле в IT больше всего любят с умным видом поговорить вчерашни, Аноним, 09-Май-17, 22:10 (58)
        
        Кхе-кхе И где этот комментарий в дистрибутиве PVS-Studio , Admino, 09-Май-17, 18:22 (41)
        
        Что Я совершенно не понял вопрос При чём вообще тут дистрибутив , Andrey_Karpov, 09-Май-17, 18:31 (44)
        
        Не обращайте внимание, это бездельники, которым только и дело - чесать языком ме, папа карло, 10-Май-17, 14:37 (66)
- А у них кто-то будет спрашивать , A.Stahl, 09-Май-17, 11:26 (3)
- Коллега,Андрей Карпов уже ответил на сравнение статического анализа текста в ли, oopsy, 09-Май-17, 12:10 (5) //
  - Раз уж речь зашла о Valgrind, хочу обратить внимание ещё вот на эту свежую стать, Andrey_Karpov, 09-Май-17, 12:33 (9) //
    - Блин, как же вы достали Пользуетесь любым поводом, чтобы просунуть рекламу себя, Аноним, 09-Май-17, 14:01 (16)
      - А почему Вы не возмущаетесь пиаром, который осуществляет Google, рассказывая о с, Andrey_Karpov, 09-Май-17, 14:06 (17)
        
        Вот когда в ваши статьи будут лезть гугл-боты и оффтопить рекламой про гуглопрое, A.Stahl, 09-Май-17, 14:41 (20)
        наверно по тому что количество полезного от вас и от google совсем разное Кроме , Аноним, 09-Май-17, 16:09 (23)
        
        Анализатор PVS-Studio является программным продуктом, на продаже которого мы зар, Andrey_Karpov, 09-Май-17, 16:28 (26)
        
        Да зарабатывайте, хоть тресните, только с рекламой во все дыры не лезьте , Аноним, 09-Май-17, 17:16 (33)
        
        Вы преувеличиваете Просто именно Вам на глаза мы попались несколько раз и тепер, Andrey_Karpov, 09-Май-17, 18:30 (43)
        
        Да вами уже весь интернет провонял , Аноним, 09-Май-17, 18:40 (46)
  - Разумные размышления от коммерсантов Да не смешите моего кота Все их размышлени, Сергей, 09-Май-17, 12:37 (11) //
    - Список тех, кого Вы называете лохами ушастыми https www viva64 com ru custo, Andrey_Karpov, 09-Май-17, 12:45 (13)
      - Да ну Ух ты, там лаборанты, микрософт и прочие ИТ паразиты известные своим гнил, Сергей, 09-Май-17, 16:25 (25)
        
        Не понимаю, при чём здесь СПО Вот есть скажем у нас в клиентах компания, зани, Andrey_Karpov, 09-Май-17, 16:39 (27)
        
        Теряется конкуренция, что в этом хорошего , Аноним, 09-Май-17, 19:32 (54)
        Не надо смешивать солидол с яблочным джемом Или чтобы ни кто не видел что и у ко, Аноним, 09-Май-17, 20:57 (55)
  - Давно ли их продукт стал синонимом статического анализа Других анализаторов нет, Аноним, 09-Май-17, 16:51 (28)
- Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах https , Andrey_Karpov, 09-Май-17, 12:42 (12) //
  - Продайтесь гуглу Все будут счастливы Стандартный менталитет зомбирование гу, Аноним, 09-Май-17, 13:05 (15)
  - Потому что даже Гуглу вы не нужны Что говорит о качестве вашего изобретения , Анонс, 09-Май-17, 15:39 (22)
  - Размечтались, ага Купит вас гугл, готовьте чемоданы для баксов Ему выгоднее вк, Аноним, 09-Май-17, 16:53 (29)
  - зевая Число наверняка указано без вычета ложных срабатываний , Аноним, 09-Май-17, 17:19 (35) //
    - 11000 это не количество предупреждений Это именно 11037 ошибок, которые выписан, Andrey_Karpov, 09-Май-17, 17:47 (38)
  - Что-то я до сих пор не вижу от вас бота, который бы сканировал репозитории по за, Аноним, 08-Фев-19, 22:09 (74)
- А какое отношение фаззинг имеет к статическому анализу , eSyr, 09-Май-17, 12:59 (14) //
  - Никакого Но вот если бы это был статический анализ, мы могли бы вам попробовать, Аноним, 09-Май-17, 14:25 (18)
- Ну вот кто тебя за язык тянул, а , Аноним, 09-Май-17, 17:15 (32) //
  - Начальник отдела маркетинга Кто же ещё , A.Stahl, 09-Май-17, 17:27 (36)
  - Да уж, накомлал герр Шталь нечистую силу на наши головы , Какаянахренразница, 10-Май-17, 04:08 (62)
  - Кто, если не я Когда, если не сейчас , Аноним, 10-Май-17, 11:27 (63)
Отличный проект Я примерно так себе и представляю будущее свободного ПО Тестир, Аноним, 09-Май-17, 12:31 (7) //
- Дошло уже до юзабилити, дошло, набежали г вноеды Уже и кнопки Ок и Отмена местам, Аноним, 09-Май-17, 18:44 (47)
объясните недалекому - как вообще устроен процесс обнаружения возможных уя, nur, 09-Май-17, 15:25 (21) //
- Я понимаю это так Инструмент находит ошибки Для начала не важно какие Важно п , Andrey_Karpov, 09-Май-17, 16:16 (24)
- Очень просто Находят ошибки разных типов Определённые типы ошибок например пе, Аноним, 09-Май-17, 17:00 (30)
overflows, overflows, overflows Какие отмазы только инвалиды не придумывают, , mumu, 09-Май-17, 21:32 (56) //
- freetype -1996 годffmpeg - 2000 годlibreoffice тогда ещё staroffice - 1985 год, Аноним, 09-Май-17, 23:20 (59)
- И да, использование частиц не ни подучи , Аноним, 09-Май-17, 23:22 (60) //
  - Форум это разговорный язык, gramota ru в другом месте , Аноним, 10-Май-17, 01:06 (61) //
    - Разговорный язык бывает разный, как грамотный, так и безграмотный , VladSh, 10-Май-17, 13:47 (64)
    - На форуме письменная речь, с помощью специальных графических знаков знаков пись, KBAKEP, 12-Май-17, 18:22 (72)
  - И куда уважаемый Грамотей тут собрался частицу НИ вставлять , Аноним, 10-Май-17, 14:10 (65) //
    - Сможешь угадать с трёх раз , Аноним, 10-Май-17, 16:26 (67)
      - Ты не умничай, ты паль W вставь и покажи А мы посмеемся , Аноним, 10-Май-17, 17:07 (68)
    - сие не является отрицанием, так что тут ни , axredneck, 11-Май-17, 02:31 (70)
Сколько комментариев и ни одного нормального Кому-то не дает покоя один навязчи, Ivan, 10-Май-17, 20:50 (69) //
- Хороший фаззер отслеживает пути выполнения и умеет отличать разные ошибки от дуб, Аноним, 11-Май-17, 12:41 (71)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру