PVS-Studio comme la solution SAST
PVS-Studio est inclus dans le rapport de Forrester Research "Now Tech : Static Application Security Testing, Q3 2020" comme la solution SAST. La méthodologie SAST (Static Application Security Testing) améliore la sécurité des applications et aide à réduire l'impact des failles de sécurité sur le cycle de vie des applications. Forrester Research est l'un des principaux entreprises de recherche qui fournit à ses clients des études de marché sur l'impact des technologies dans le monde des affaires. Le rapport est disponible à l'achat ou avec un abonnement à Forrester Research.
PVS-Studio aide à améliorer le code dans trois domaines : la qualité, la sûreté et la sécurité.
La qualité
Quel que soit le logiciel que vous développez, la qualité du code doit être élevée. Ainsi, vos clients rencontrent moins de problèmes et vous puissiez développer le projet plus facilement et à moindre coût.
Les diagnostics de General Analysis aident à trouver les problèmes liés à la qualité du code. Ils détectent :
- l'index de tableau hors limites ;
- le déréférencement de pointeurs nuls ;
- l'appel de la fonction incorrect ;
- les problèmes de synchronisation ;
- et d'autres défauts.
Vous pouvez trouver une liste des diagnostics de General Analysis ici.
La sûreté
La sûreté est particulièrement importante dans le domaine des logiciels où les défauts peuvent entraîner des conséquences graves : une perte de millions de dollars, voire de vies humaines. Les applications dans l'industrie spatiale, la médecine et le génie mécanique ont des exigences de sécurité élevées et ne doivent contenir aucune erreur.
Pour écrire du code sûr, les développeurs utilisent les normes spéciales (par exemple, MISRA C, MISRA C++, AUTOSAR Coding Guidelines).
PVS-Studio détecte les non-conformités de ces normes. Les tableaux de diagnostics de PVS-Studio et leur correspondance avec les normes de la sécurité :
Si vous travaillez avec les normes MISRA, vous pouvez avoir besoin du rapport de MISRA Compliance. Vous pouvez le générer avec les utilitaires de PVS-Studio. Pour lire la suite, cliquez ici.
La sécurité
Le code sécurisé résiste aux attaques malveillantes : des injections SQL, XXE, XSS et autres. La sécurité est importante dans des applications qui fonctionnent avec les données utilisateurs (des logiciels bancaires, des applications web, etc.).
Pour sécuriser les applications, les équipes utilisent le cycle de vie du développement logiciel sécurisé (SSDLC). L'une des étapes du cycle de vie consiste à rechercher des problèmes de sécurité avec SAST (static application security testing).
PVS-Studio est une solution SAST qui recherche les faiblesses et aide à augmenter la sécurité du code.
Les tableaux de diagnostics de PVS-Studio et leur correspondance avec les vulnérabilités potentielles et les normes de développement sécurisées :
- Common Weakness Enumeration (CWE)
- OWASP ASVS (Application Security Verification Standard)
- SEI CERT Coding Standards
Les faiblesses les plus dangereuses et les plus courantes sont répertoriées dans différents tops. Découvrez comment PVS-Studio aide à combattre ces faiblesses :
Benchmark suites pour tester les analyseurs de code
Les benchmarks aident à évaluer les capacités des analyseurs statiques. Il s'agit d'un ensemble de fragments de code qui aident à évaluer si l'analyseur trouve des problèmes et s'il émet des faux positifs.
La couverture des benchmarks par PVS-Studio est la suivante :
- Toyota ITC Benchmarks: 49%. La méthode d'évaluation est ici.