Для получения триального ключа
заполните форму ниже
Team license
Enterprise license
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
Предоставляем анализатор PVS-Studio экс…

Предоставляем анализатор PVS-Studio экспертам безопасности

23 Май 2017

Неожиданно для самих себя мы поняли, что можем взаимовыгодно сотрудничать с экспертами в сфере информационной безопасности. Те из них, кто занимается поиском уязвимостей в коде приложений, могут воспользоваться бесплатной версией анализатора PVS-Studio для своих исследований. В свою очередь, если будут найдены уязвимости, наш анализатор приобретёт большую популярность. PVS-Studio может быть использован для исследований проектов, написанных на языке C и C++.

0510_PVS-Studio_For_Research_ru/image1.png

Всё началось с открытого письма "Команда PVS-Studio готова поработать над проектом Tizen", которым мы хотели привлечь интерес компании Samsung Electronics. Компания Samsung заинтересована в надёжности и безопасности операционной системы Tizen, и проводит различные исследовательские изыскания, связанные с этой темой. Например, компания вложила более $10 миллионов в статический анализатора Svace, разрабатываемый в ИСП РАН. Мы решили, что анализатор PVS-Studio также может быть полезен разработчикам Tizen, раз находит ошибки в этом проекте.

После этого с нами связался Amihai Neiderman (@AAAAAAmihai), который заинтересовался возможностями анализатора PVS-Studio. Amihai Neiderman месяц назад как раз выступал на конференции с докладом, посвященным уязвимостям в операционной системе Tizen: Breaking Tizen.

Мы пообщались с ним и выдали лицензию на анализатор PVS-Studio для его дальнейших изысканий в сфере поиска уязвимостей. Неизвестно, повезёт ли ему найти какие-то уязвимости с помощью нашего анализатора или нет, но почему бы не попробовать, ведь все только выигрывают. У Amihai Neiderman появится новый инструмент, выявляющий подозрительный код, в котором могут скрываться уязвимости. Если повезёт и уязвимость будет найдена, то на следующем выступлении у него будет повод упоминать анализатор PVS-Studio. Это будет отличная дополнительная реклама нашего инструмента.

И тут нам в голову пришла хорошая мысль. Странно, что она не возникала раньше, впрочем, это частое явление для многих хороших мыслей :). Надо развивать подобное сотрудничество и с другими экспертами, которые занимаются поиском уязвимостей.

Если читатель этой статьи является публичным экспертом в области безопасности и занимается поиском уязвимостей, то он может написать нам и получить лицензию на анализатор PVS-Studio. Мы поможем ему с проверкой различных проектов и вообще будем оказывать поддержку. Если будут найдены уязвимости, мы будем благодарны исследователю, если он упомянет нас в своих публикациях или выступлениях.

Желающие получить лицензию и поддержку, должны будут подтвердить, что они занимаются вопросами безопасности и ведут публичную деятельность, например, пишут статьи. Впрочем, думаем, это уточнится в ходе общения. Тем, кому интересна данная тема, просим написать нам на support [@] viva64.com.

Далеко не все предупреждения анализатора будут выявлять ошибки, которые стоит изучать с точки зрения безопасности. Например, вряд ли в поисках уязвимостей чем-то поможет предупреждение V665. Но такие предупреждения легко отключить и изучать только интересные сообщения анализатора. И, как уже было сказано выше, мы готовы прийти на помощь по любым вопросам.

Примечание. Раньше мы не позиционировали свой анализатор как инструмент для предотвращения уязвимостей. Мы писали статьи о поиске обыкновенных ошибок. Теперь нам хочется, чтобы программисты воспринимали PVS-Studio не только как инструмент поиска опечаток и прочих ляпов, но и как инструмент, помогающий предотвратить многие уязвимости. Анализатор PVS-Studio находит множество ошибок, классифицируемых согласно CWE (пример). При стечении определённых обстоятельств CWE может превратиться в CVE. Поэтому, используя PVS-Studio, программист не только избавляет код от ошибок и тем самым сокращает стоимость разработки, но и дополнительно предотвращает многие уязвимости.

Поддерживаемые языки и компиляторы:

  • Windows. Visual Studio 2017 C, C++, C++/CLI, C++/CX (WinRT), C#
  • Windows. Visual Studio 2015 C, C++, C++/CLI, C++/CX (WinRT), C#
  • Windows. Visual Studio 2013 C, C++, C++/CLI, C++/CX (WinRT), C#
  • Windows. Visual Studio 2012 C, C++, C++/CLI, C++/CX (WinRT), C#
  • Windows. Visual Studio 2010 C, C++, C++/CLI, C#
  • Windows. MinGW C, C++
  • Windows/Linux. Clang C, C++
  • Linux. GCC C, C++

Ссылки:

  • Анализатор PVS-Studio. Скачать версию для: Windows, Linux.
  • Обновляемый список статей, в которых мы рассказываем об ошибках, найденных с помощью PVS-Studio в открытых проектах.
  • Ошибки, обнаруженные в Open Source проектах разработчиками PVS-Studio с помощью статического анализа: база ошибок.

Популярные статьи по теме
Что такое катастрофический возврат и как регулярное выражение может стать причиной ReDoS-уязвимости?

Дата: 03 Ноя 2022

Автор: Андрей Москалёв

Регулярные выражения – очень полезный и удобный инструмент для поиска и замены текста. Однако в некоторых случаях они могут привести к зависанию системы или даже стать причиной уязвимости к ReDoS-ата…
Чем опасны уязвимые зависимости в проекте и как с этим помогает SCA?

Дата: 06 Сен 2022

Автор: Никита Липилин

Современные приложения почти всегда используют сторонние библиотеки. Если библиотека содержит уязвимость, то уязвимым может оказаться и использующее её приложение. Но как определить наличие таких про…
Виды Application Security Testing. Как не запутаться среди SAST, DAST и IAST

Дата: 25 Июл 2022

Автор: Алексей Саркисов

Какие плюсы есть у SAST? Чем он отличается от DAST? Что такое IAST? Что значат все эти слова?! Об этом (и не только) расскажем в статье-разборе основных видов Application Security Testing (далее AST)…
Что такое CVE и какие угрозы там хранятся?

Дата: 22 Июл 2022

Автор: Михаил Евтихевич

В публикациях о различных уязвимостях и инцидентах информационной безопасности часто встречается аббревиатура CVE. CVE (Common Vulnerabilities and Exposures) – это список известных уязвимостей и дефе…
CWE Top 25 2022. Обзор изменений

Дата: 20 Июл 2022

Автор: Михаил Гельвих

Список CWE Top 25 отражает наиболее серьёзные недостатки безопасности ПО. Предлагаю вам ознакомиться с обновлённым топом в обзоре изменений за прошедший год.

Комментарии (0)

Следующие комментарии
Unicorn with delicious cookie
Мы используем куки, чтобы пользоваться сайтом было удобно.
Хорошо