Forwarded from Ever Secure (Aleksey Fedulaev)
#созвон_сообщества
Запись созвона
Гость: Андрей Карпов - сооснователь PVS-Studio
На созвоне поговорили о развитии статических анализаторов, о ГОСТ Р 71207-2024 (что там внутри). О том, как PVS-Studio под стандарт адаптировали и продолжают адаптировать. Про испытания статических анализаторов под руководством ФСТЭК. И, конечно, ответили на вопросы зрителей.
Смотреть на:
-📹 Youtube
-💰 Boosty
-📺 VK
-📺 Rutube
👀 @ever_secure | 💪 Мерч
Запись созвона
Гость: Андрей Карпов - сооснователь PVS-Studio
На созвоне поговорили о развитии статических анализаторов, о ГОСТ Р 71207-2024 (что там внутри). О том, как PVS-Studio под стандарт адаптировали и продолжают адаптировать. Про испытания статических анализаторов под руководством ФСТЭК. И, конечно, ответили на вопросы зрителей.
Смотреть на:
-
-
-
-
Please open Telegram to view this post
VIEW IN TELEGRAM
Раз в РБПО мы добрались до статического анализа, время изучить возможности PVS-Studio.
Поддерживает анализ кода на языке C, C++ (и диалекты C++/CLI, C++/CX), C#, Java. Совместим с ГОСТ Р 71207–2024 – Статический анализ ПО.
Применяется испытательными лабораториями, аккредитованными в системах сертификации средств защиты информации ФСТЭК России в рамках работ по сертификационным испытаниям программных продуктов.
От меня промокод firefly для получения лецензии на 1 месяц. Скачать и попробовать.
Поддерживает анализ кода на языке C, C++ (и диалекты C++/CLI, C++/CX), C#, Java. Совместим с ГОСТ Р 71207–2024 – Статический анализ ПО.
Применяется испытательными лабораториями, аккредитованными в системах сертификации средств защиты информации ФСТЭК России в рамках работ по сертификационным испытаниям программных продуктов.
От меня промокод firefly для получения лецензии на 1 месяц. Скачать и попробовать.
РБПО-021. Термин: статический анализ исходного кода программы (часть 2/3)
Внедрение статического анализа в процесс разработки это:
1. Выявление ошибок в программах и "кода с запахом" (например, непереносимый или сложный для понимания код).
2. Обнаружение критических ошибок (потенциальных уязвимостей).
3. Один из ключевых процессов для построения РБПО.
4. Рекомендации по оформлению кода. Некоторые статические анализаторы позволяют проверять, соответствует ли исходный код принятому в компании стандарту оформления. Имеется в виду контроль количества отступов в различных конструкциях, использование пробелов/символов табуляции и так далее.
5. Подсчёт метрик. Метрика программного обеспечения — это мера, позволяющая получить численное значение некоторого свойства программного обеспечения или его спецификаций.
6. Проверка соответствия текста программы определённым стандартам кодирования (MISRA, CWE, SEI CERT, и т.д.).
7. Контроль качества кода во времени. Собирая статистику, можно узнать, растёт или уменьшается плотность ошибок со временем. Это позволяет отвечать на вопросы о том, какие изменения в процессе разработки проекта пошли на пользу, а какие нет.
Есть и другие способы использования инструментов статического анализа кода. Например, статический анализ можно использовать как метод контроля и обучения новых сотрудников, ещё недостаточно знакомых с правилами программирования в компании.
Внедрение статического анализа в процесс разработки это:
1. Выявление ошибок в программах и "кода с запахом" (например, непереносимый или сложный для понимания код).
2. Обнаружение критических ошибок (потенциальных уязвимостей).
3. Один из ключевых процессов для построения РБПО.
4. Рекомендации по оформлению кода. Некоторые статические анализаторы позволяют проверять, соответствует ли исходный код принятому в компании стандарту оформления. Имеется в виду контроль количества отступов в различных конструкциях, использование пробелов/символов табуляции и так далее.
5. Подсчёт метрик. Метрика программного обеспечения — это мера, позволяющая получить численное значение некоторого свойства программного обеспечения или его спецификаций.
6. Проверка соответствия текста программы определённым стандартам кодирования (MISRA, CWE, SEI CERT, и т.д.).
7. Контроль качества кода во времени. Собирая статистику, можно узнать, растёт или уменьшается плотность ошибок со временем. Это позволяет отвечать на вопросы о том, какие изменения в процессе разработки проекта пошли на пользу, а какие нет.
Есть и другие способы использования инструментов статического анализа кода. Например, статический анализ можно использовать как метод контроля и обучения новых сотрудников, ещё недостаточно знакомых с правилами программирования в компании.
4 и 5 июня буду в Москве для участия в вечерних митапах. А днём пока свободен и открыт к предложениям ещё где-то поучаствовать: внезапный подкаст, рассказ вашим коллегам в офисе про статический анализ :). Если есть подходящая идеи - напишите.
РБПО-022. Термин: статический анализ исходного кода программы (часть 3/3)
Как и у любой другой методологии выявления ошибок, у статического анализа есть свои сильные и слабые стороны. Важно понимать, что нет одного идеального метода обеспечения качества кода. Для разных классов программного обеспечения разные методики будут давать разные результаты. Добиться высокого качества программы можно только в случае, если использовать сочетание различных методик.
Главное преимущество статического анализ состоит в возможности существенного снижения стоимости устранения дефектов в программе. Чем раньше ошибка выявлена, тем меньше стоимость её исправления.
Другие преимущества статического анализа кода:
1. Тестирование всего кода. Статические анализаторы проверяют даже те фрагменты кода, которые выполняются крайне редко. Такие участки кода, как правило, не удаётся протестировать другими методами. Это позволяет находить дефекты в обработчиках редких ситуаций, в обработчиках ошибок или в системе логирования.
2. Статический анализ не зависит от используемого компилятора и среды, в которой будет выполняться скомпилированная программа. Это позволяет находить скрытые ошибки, которые могут проявить себя только через несколько лет. Например, это ошибки неопределённого поведения. Они могут проявить себя при смене версии компилятора или при использовании других ключей для оптимизации кода.
3. Можно легко и быстро обнаруживать опечатки и последствия использования copy-paste. Как правило, нахождение этих ошибок иными способами является крайне неэффективной тратой времени и усилий. Обидно после часа отладки обнаружить, что ошибка заключается в выражении вида
Дополнительные ссылки:
• Как внедрить статический анализатор кода в legacy проект и не демотивировать команду.
• Внедряйте статический анализ в процесс, а не ищите с его помощью баги.
Как и у любой другой методологии выявления ошибок, у статического анализа есть свои сильные и слабые стороны. Важно понимать, что нет одного идеального метода обеспечения качества кода. Для разных классов программного обеспечения разные методики будут давать разные результаты. Добиться высокого качества программы можно только в случае, если использовать сочетание различных методик.
Главное преимущество статического анализ состоит в возможности существенного снижения стоимости устранения дефектов в программе. Чем раньше ошибка выявлена, тем меньше стоимость её исправления.
Другие преимущества статического анализа кода:
1. Тестирование всего кода. Статические анализаторы проверяют даже те фрагменты кода, которые выполняются крайне редко. Такие участки кода, как правило, не удаётся протестировать другими методами. Это позволяет находить дефекты в обработчиках редких ситуаций, в обработчиках ошибок или в системе логирования.
2. Статический анализ не зависит от используемого компилятора и среды, в которой будет выполняться скомпилированная программа. Это позволяет находить скрытые ошибки, которые могут проявить себя только через несколько лет. Например, это ошибки неопределённого поведения. Они могут проявить себя при смене версии компилятора или при использовании других ключей для оптимизации кода.
3. Можно легко и быстро обнаруживать опечатки и последствия использования copy-paste. Как правило, нахождение этих ошибок иными способами является крайне неэффективной тратой времени и усилий. Обидно после часа отладки обнаружить, что ошибка заключается в выражении вида
strcmp(str_a, str_a). Обсуждая типовые ошибки, про такие ляпы, как правило, не вспоминают. Но на практике на их выявление тратится существенное время.Дополнительные ссылки:
• Как внедрить статический анализатор кода в legacy проект и не демотивировать команду.
• Внедряйте статический анализ в процесс, а не ищите с его помощью баги.
Forwarded from СВД ВС
🚀 Напоминание: вебинар уже завтра.
Друзья, уже завтра, 5 июня в 12:00 (МСК) состоится наш совместный вебинар с партнёрами из PVS-Studio!
Мы уверены: опытом важно делиться — особенно, когда речь идет о создании надежного и безопасного ПО.
📌 В программе:
🔹 Как использовать современные инструменты для разработки качественного кода
🔹 Как выявлять ошибки, уязвимости и нарушения стандартов (SAST, MISRA, CWE) с помощью PVS-Studio и комплекта разработчика для Нейтрино
🔹 Реальные кейсы: как инструменты работают в боевых условиях на проектах под Linux и Windows
👨💻 Вебинар будет полезен:
Разработчикам, тестировщикам, архитекторам — всем, кто стремится писать чистый, безопасный и эффективный код.
Регистрация на вебинар👈
#Вебинары #Безопасная_разработка
Друзья, уже завтра, 5 июня в 12:00 (МСК) состоится наш совместный вебинар с партнёрами из PVS-Studio!
Мы уверены: опытом важно делиться — особенно, когда речь идет о создании надежного и безопасного ПО.
📌 В программе:
🔹 Как использовать современные инструменты для разработки качественного кода
🔹 Как выявлять ошибки, уязвимости и нарушения стандартов (SAST, MISRA, CWE) с помощью PVS-Studio и комплекта разработчика для Нейтрино
🔹 Реальные кейсы: как инструменты работают в боевых условиях на проектах под Linux и Windows
👨💻 Вебинар будет полезен:
Разработчикам, тестировщикам, архитекторам — всем, кто стремится писать чистый, безопасный и эффективный код.
Регистрация на вебинар
#Вебинары #Безопасная_разработка
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from PVS-Studio
Друзья, мы готовим для вас что-то очень важное и полезное...
А именно цикл вебинаров про РБПО - "Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024". Совместно с учебным центром "МАСКОМ" мы организовываем 25 вебинаров, где подробно разберем новый ГОСТ и расскажем, как внедрить РБПО.
Мы планируем организовывать вебинары по средам. В последующих постах мы подробнее расскажем о каждой части. А пока просим вас помочь нам определиться со временем начала вебинаров 😊
А именно цикл вебинаров про РБПО - "Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024". Совместно с учебным центром "МАСКОМ" мы организовываем 25 вебинаров, где подробно разберем новый ГОСТ и расскажем, как внедрить РБПО.
Мы планируем организовывать вебинары по средам. В последующих постах мы подробнее расскажем о каждой части. А пока просим вас помочь нам определиться со временем начала вебинаров 😊
Forwarded from PVS-Studio
Forwarded from PVS-Studio
Друзья, вот и вторая часть серии докладов про новый ГОСТ Р 56939. В этой части говорим про содержание ГОСТа и его структуру 👇🏻
Приятного просмотра!
Telegram-канал Андрея Карпова🔗
#видео #ГОСТ
Приятного просмотра!
Telegram-канал Андрея Карпова
#видео #ГОСТ
Please open Telegram to view this post
VIEW IN TELEGRAM
VK Видео
Содержание ГОСТ Р 56939-2024 и его структура
Это серия докладов про новый ГОСТ Р 56939-2024. Во второй части говорим про содержание нового ГОСТа и его структуру. ----------------------------------------------------------- Полезные ссылки: - План ФСТЭК на 2025 год по разработке проектов национальных…
Forwarded from PVS-Studio
Вебинар для Java-разработчиков!
Друзья, мы готовим вебинар, который позволит определить, как максимально быстро и эффективно обеспечить защиту Java-приложений и какие инструменты и продукты для этого использовать.
Поговорим про ГОСТ и критические ошибки. Обсудим, зачем нужен процесс безопасной разработки. На примерах покажем, как использовать анализатор PVS-Studio и продукты компании Axiom JDK.
🗓19 июня в 11:00
Регистрация доступна по ссылке🔗
#вебинар #java
Друзья, мы готовим вебинар, который позволит определить, как максимально быстро и эффективно обеспечить защиту Java-приложений и какие инструменты и продукты для этого использовать.
Поговорим про ГОСТ и критические ошибки. Обсудим, зачем нужен процесс безопасной разработки. На примерах покажем, как использовать анализатор PVS-Studio и продукты компании Axiom JDK.
🗓19 июня в 11:00
Регистрация доступна по ссылке
#вебинар #java
Please open Telegram to view this post
VIEW IN TELEGRAM
Захожу на Habr, а там такая статья! Моё почтение автору.
Как манул единорога в горы водил: запускаем PVS-Studio на российских процессорах Эльбрус.
Как манул единорога в горы водил: запускаем PVS-Studio на российских процессорах Эльбрус.
Хабр
Как манул единорога в горы водил: запускаем PVS-Studio на российских процессорах Эльбрус
- Зачем идете в горы вы? Ведь Эльбрус и с самолета видно здорово! Приветствую! Я Владислав Щапов и я обожаю манулов. А еще я разработчик в компании НИЦ ЦТ , которая разрабатывает операционную систему...
Forwarded from PVS-Studio
Друзья, мы долго готовились, долго к этому шли…
И вот, наконец-то, рады вам рассказать про крутое мероприятие! 🎉
Совместно с Центральным Университетом мы организовываем свой уникальный митап – «Сплошные плюсы. Клуб С++ разработчиков».
Этот митап не просто про доклады, это площадка для развития своих профессиональных навыков в приятной атмосфере.
Андрей Карпов, сооснователь PVS-Studio, расскажет про типовые ошибки С и С++ программистов. А Олег Лысый, техлид в PVS-Studio, познакомит с основами парсинга С++ кода.
Как видите, сплошные плюсы. А минусы? А минусов не будет! Приходите! 😉
Все подробности и программа доступны по ссылке 🔗
#мероприятие #митап #cpp
И вот, наконец-то, рады вам рассказать про крутое мероприятие! 🎉
Совместно с Центральным Университетом мы организовываем свой уникальный митап – «Сплошные плюсы. Клуб С++ разработчиков».
Этот митап не просто про доклады, это площадка для развития своих профессиональных навыков в приятной атмосфере.
Андрей Карпов, сооснователь PVS-Studio, расскажет про типовые ошибки С и С++ программистов. А Олег Лысый, техлид в PVS-Studio, познакомит с основами парсинга С++ кода.
Как видите, сплошные плюсы. А минусы? А минусов не будет! Приходите! 😉
Все подробности и программа доступны по ссылке 🔗
#мероприятие #митап #cpp