Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
Предоставляем анализатор PVS-Studio экс…

Предоставляем анализатор PVS-Studio экспертам безопасности

23 Май 2017

Неожиданно для самих себя мы поняли, что можем взаимовыгодно сотрудничать с экспертами в сфере информационной безопасности. Те из них, кто занимается поиском уязвимостей в коде приложений, могут воспользоваться бесплатной версией анализатора PVS-Studio для своих исследований. В свою очередь, если будут найдены уязвимости, наш анализатор приобретёт большую популярность. PVS-Studio может быть использован для исследований проектов, написанных на языке C и C++.

0510_PVS-Studio_For_Research_ru/image1.png

Всё началось с открытого письма "Команда PVS-Studio готова поработать над проектом Tizen", которым мы хотели привлечь интерес компании Samsung Electronics. Компания Samsung заинтересована в надёжности и безопасности операционной системы Tizen, и проводит различные исследовательские изыскания, связанные с этой темой. Например, компания вложила более $10 миллионов в статический анализатора Svace, разрабатываемый в ИСП РАН. Мы решили, что анализатор PVS-Studio также может быть полезен разработчикам Tizen, раз находит ошибки в этом проекте.

После этого с нами связался Amihai Neiderman (@AAAAAAmihai), который заинтересовался возможностями анализатора PVS-Studio. Amihai Neiderman месяц назад как раз выступал на конференции с докладом, посвященным уязвимостям в операционной системе Tizen: Breaking Tizen.

Мы пообщались с ним и выдали лицензию на анализатор PVS-Studio для его дальнейших изысканий в сфере поиска уязвимостей. Неизвестно, повезёт ли ему найти какие-то уязвимости с помощью нашего анализатора или нет, но почему бы не попробовать, ведь все только выигрывают. У Amihai Neiderman появится новый инструмент, выявляющий подозрительный код, в котором могут скрываться уязвимости. Если повезёт и уязвимость будет найдена, то на следующем выступлении у него будет повод упоминать анализатор PVS-Studio. Это будет отличная дополнительная реклама нашего инструмента.

И тут нам в голову пришла хорошая мысль. Странно, что она не возникала раньше, впрочем, это частое явление для многих хороших мыслей :). Надо развивать подобное сотрудничество и с другими экспертами, которые занимаются поиском уязвимостей.

Если читатель этой статьи является публичным экспертом в области безопасности и занимается поиском уязвимостей, то он может написать нам и получить лицензию на анализатор PVS-Studio. Мы поможем ему с проверкой различных проектов и вообще будем оказывать поддержку. Если будут найдены уязвимости, мы будем благодарны исследователю, если он упомянет нас в своих публикациях или выступлениях.

Желающие получить лицензию и поддержку, должны будут подтвердить, что они занимаются вопросами безопасности и ведут публичную деятельность, например, пишут статьи. Впрочем, думаем, это уточнится в ходе общения. Тем, кому интересна данная тема, просим написать нам на support [@] viva64.com.

Далеко не все предупреждения анализатора будут выявлять ошибки, которые стоит изучать с точки зрения безопасности. Например, вряд ли в поисках уязвимостей чем-то поможет предупреждение V665. Но такие предупреждения легко отключить и изучать только интересные сообщения анализатора. И, как уже было сказано выше, мы готовы прийти на помощь по любым вопросам.

Примечание. Раньше мы не позиционировали свой анализатор как инструмент для предотвращения уязвимостей. Мы писали статьи о поиске обыкновенных ошибок. Теперь нам хочется, чтобы программисты воспринимали PVS-Studio не только как инструмент поиска опечаток и прочих ляпов, но и как инструмент, помогающий предотвратить многие уязвимости. Анализатор PVS-Studio находит множество ошибок, классифицируемых согласно CWE (пример). При стечении определённых обстоятельств CWE может превратиться в CVE. Поэтому, используя PVS-Studio, программист не только избавляет код от ошибок и тем самым сокращает стоимость разработки, но и дополнительно предотвращает многие уязвимости.

Поддерживаемые языки и компиляторы:

  • Windows. Visual Studio 2017 C, C++, C++/CLI, C++/CX (WinRT), C#
  • Windows. Visual Studio 2015 C, C++, C++/CLI, C++/CX (WinRT), C#
  • Windows. Visual Studio 2013 C, C++, C++/CLI, C++/CX (WinRT), C#
  • Windows. Visual Studio 2012 C, C++, C++/CLI, C++/CX (WinRT), C#
  • Windows. Visual Studio 2010 C, C++, C++/CLI, C#
  • Windows. MinGW C, C++
  • Windows/Linux. Clang C, C++
  • Linux. GCC C, C++

Ссылки:

  • Анализатор PVS-Studio. Скачать версию для: Windows, Linux.
  • Обновляемый список статей, в которых мы рассказываем об ошибках, найденных с помощью PVS-Studio в открытых проектах.
  • Ошибки, обнаруженные в Open Source проектах разработчиками PVS-Studio с помощью статического анализа: база ошибок.

Популярные статьи по теме
Место SAST в Secure SDLC: 3 причины внедрения в DevSecOps-пайплайн

Дата: 19 Апр 2022

Автор: Сергей Васильев

Репутационные и денежные риски, связанные с уязвимостями, огромны. На фоне этого понятен повышенный интерес к безопасности и стремление выстроить цикл безопасной разработки (SSDLC). Сегодня мы погово…
Атака Trojan Source: скрытые уязвимости

Дата: 15 Апр 2022

Автор: Гость

Мы представляем новый тип атаки для внедрения в исходный код вредоносных изменений, по-разному выглядящих для компилятора и человека. Такая атака эксплуатирует тонкости стандартов кодирования символо…
Почему моё приложение при открытии SVG-файла отправляет сетевые запросы?

Дата: 18 Фев 2022

Автор: Сергей Васильев

Вы решили сделать приложение, работающее с SVG. Набрали библиотек, запаслись энтузиазмом, и в итоге всё удалось. Но вот незадача! Внезапно вы обнаруживаете, что приложение отправляет странные сетевые…
Уязвимости из-за обработки XML-файлов: XXE в C# приложениях в теории и на практике

Дата: 11 Фев 2022

Автор: Сергей Васильев

Как простая обработка XML-файлов может стать дефектом безопасности? Каким образом блог, развёрнутый на вашей машине, может стать причиной утечки данных? Сегодня мы ответим на эти вопросы и разберём, …
OWASP Top Ten и Software Composition Analysis (SCA)

Дата: 22 Окт 2021

Автор: Никита Липилин

Категория A9 из OWASP Top Ten 2017 (ставшая A6 в OWASP Top Ten 2021) посвящена использованию компонентов с известными уязвимостями. Для её покрытия в PVS-Studio разработчикам придётся превратить анал…

Комментарии (0)

Следующие комментарии
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять