Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
GBP
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
Кратко о PVS-Studio как SAST решении

Кратко о PVS-Studio как SAST решении

17 апреля 2019 г.

PVS-Studio является средством статического тестирования защищённости приложений (Static Application Security Testing, SAST). Другими словами, анализатор PVS-Studio выявляет не только выход за границы массива, опечатки, мёртвый код и прочие ошибки, но и потенциальные уязвимости.

0625_Briefly_about_PVS_Studio_SAST_ru/image1.png

Существует два подхода к выявлению уязвимостей в коде.

В первом случае анализатор, основываясь на базе общеизвестных уязвимостей CVE, производит поиск опасных фрагментов кода. Это похоже на то, как работают антивирусы. Подход эффективен для выявления известных уязвимостей, которые могли попасть в проект при использовании старых библиотек или методом Copy-Paste.

Рассмотренный подход не отвечает на вопрос, что делать с ещё не выявленными уязвимостями и новым написанным кодом.

Поэтому существует второй подход, когда превентивно выявляются и исправляются участки кода, содержащие дефекты безопасности. Инструмент PVS-Studio на данный момент реализует именно эту стратегию.

Существует база Common Weakness Enumeration (CWE), описывающая паттерны ошибок, которые при стечении обстоятельств можно начать эксплуатировать как уязвимости. На практике только малая часть из найденных CWE-ошибок представляет опасность. С точки зрения разработчика, нет смысла рассуждать, можно или нет использовать тот или иной дефект для атаки. Нужно просто исправить все эти дефекты, и тем самым повысить надёжность приложения.

Анализатор PVS-Studio поддерживает классификацию ошибок согласно CWE. Если PVS-Studio выдал предупреждение и сопоставил его с одним из CWE ID, то обнаружена потенциальная уязвимость, которую следует исправить.

0625_Briefly_about_PVS_Studio_SAST_ru/image2.png

Рекомендуем ознакомиться с ретроспективной статьёй "Как PVS-Studio может помочь в поиске уязвимостей". В ней рассматриваются некоторые уязвимости, которые можно было бы выявить с помощью PVS-Studio ещё на этапе написания кода.

Внедрите статический анализатор кода PVS-Studio в ваш процесс разработки, чтобы повысить качество и надёжность разрабатываемых вами проектов.

Популярные статьи по теме
Главный вопрос программирования, рефакторинга и всего такого

Дата: 14.04.2016

Автор: Андрей Карпов

Вы угадали, ответ - "42". Здесь приводится 42 рекомендации по программированию, которые помогут избежать множества ошибок, сэкономить время и нервы. Автором рекомендаций выступает Андрей Карпов - тех…
Любите статический анализ кода!

Дата: 16.10.2017

Автор: Андрей Карпов

Я в шоке от возможностей статического анализа кода, хотя сам участвую в разработке инструмента PVS-Studio. На днях я был искренне удивлён тому, что анализатор оказался умнее и внимательнее меня.
PVS-Studio для Java

Дата: 17.01.2019

Автор: Андрей Карпов

В седьмой версии статического анализатора PVS-Studio мы добавили поддержку языка Java. Пришло время немного рассказать, как мы начинали делать поддержку языка Java, что у нас получилось и какие дальн…
Характеристики анализатора PVS-Studio на примере EFL Core Libraries, 10-15% ложных срабатываний

Дата: 31.07.2017

Автор: Андрей Карпов

После большой статьи про проверку операционной системы Tizen мне было задано много вопросов о проценте ложных срабатываний и о плотности ошибок (сколько ошибок PVS-Studio выявляет на 1000 строк кода)…
Статический анализ как часть процесса разработки Unreal Engine

Дата: 27.06.2017

Автор: Андрей Карпов

Проект Unreal Engine развивается - добавляется новый код и изменятся уже написанный. Неизбежное следствие развития проекта - появление в коде новых ошибок, которые желательно выявлять как можно раньш…
Зло живёт в функциях сравнения

Дата: 19.05.2017

Автор: Андрей Карпов

Возможно, читатели помнят мою статью под названием "Эффект последней строки". В ней идёт речь о замеченной мной закономерности: ошибка чаще всего допускается в последней строке однотипных блоков текс…
Технологии, используемые в анализаторе кода PVS-Studio для поиска ошибок и потенциальных уязвимостей

Дата: 21.11.2018

Автор: Андрей Карпов

Краткое описание технологий, используемых в инструменте PVS-Studio, которые позволяют эффективно обнаруживать большое количество паттернов ошибок и потенциальных уязвимостей. Статья описывает реализа…
Бесплатный PVS-Studio для тех, кто развивает открытые проекты

Дата: 22.12.2018

Автор: Андрей Карпов

В канун празднования нового 2019 года команда PVS-Studio решила сделать приятный подарок всем контрибьюторам open-source проектов, хостящихся на GitHub, GitLab или Bitbucket. Им предоставляется возмо…
Как PVS-Studio оказался внимательнее, чем три с половиной программиста

Дата: 22.10.2018

Автор: Андрей Карпов

PVS-Studio, как и другие статические анализаторы кода, часто выдаёт ложные срабатывания. Но не стоит спешить считать странные срабатывания ложными. Это короткая история о том, как PVS-Studio вновь ок…
Эффект последней строки

Дата: 31.05.2014

Автор: Андрей Карпов

Я изучил множество ошибок, возникающих в результате копирования кода. И утверждаю, что чаще всего ошибки допускают в последнем фрагменте однотипного кода. Ранее я не встречал в книгах описания этого …

Комментарии (0)

Следующие комментарии

На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять