Для получения триального ключа
заполните форму ниже
Team license
Enterprise license
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
Релиз PVS-Studio 7.10: OWASP, AUTOSAR, …

Релиз PVS-Studio 7.10: OWASP, AUTOSAR, SARIF

11 Ноя 2020

Мы развиваем PVS-Studio не только как классический анализатор кода, но и в направлении Security и Safety. В связи с этим начата работа по поддержке стандартов OWASP и AUTOSAR C++14. Для облегчения интеграции PVS-Studio с другими инструментами контроля качества кода, поддержана конвертация результатов работы анализатора в формат SARIF. Реализованы 22 новые диагностики для языков C, C++, C# и Java. Из этого пресс-релиза вы узнаете об этих и других нововведениях более подробно.

0774_Release_7_10_ru/image1.png

Пока мир борется с вирусами, мы боремся с ошибками и потенциальными уязвимостями. Чтобы борьба была эффективней, в этом релизе PVS-Studio мы развивали следующие направления:

  • security (SAST);
  • safety;
  • интеграция;
  • новые диагностики.

Смотри, а не читай (YouTube)

Security

Анализатор PVS-Studio является SAST (Static Application Security Testing) инструментом и помогает выявлять потенциальные уязвимости и угрозы нулевого дня. Для удобства работы специалистов по безопасности мы уже достаточно давно классифицировали предупреждения PVS-Studio согласно списку CWE и стандарту SEI CERT.

Следующим шагом стало развитие анализатора в сторону поддержки стандарта OWASP ASVS. Нам ещё предстоит работа по более полной поддержке поиска паттернов потенциальных уязвимостей, описанных в OWASP. Однако, начиная с PVS-Studio 7.10, уже можно познакомиться с таблицей соответствия OWASP диагностикам. Пока таблица небольшая, но она будет постепенно пополняться.

Safety

Для обеспечения качества и надёжности программного обеспечения используются такие стандарты, как MISRA C и MISRA C++. Наиболее часто они применяются при разработке программного обеспечения для встраиваемых устройств. Подробнее про эти стандарты вы можете прочитать в статье "Что такое MISRA и как её готовить".

Однако, стандарт MISRA С++ уже достаточно устарел и не рассчитан на современные версии языка программирования C++. Поэтому ему на смену приходит стандарт AUTOSAR C++14 Coding Guidelines.

Мы решили, помимо MISRA, начать поддерживать и этот более новый стандарт. Первые работы в этом направлении проведены как раз в PVS-Studio 7.10. Таблица соответствия предупреждений PVS-Studio и AUTOSAR доступна здесь. Как и в случае с другими стандартами, мы будем постепенно расширять поддержку стандарта AUTOSAR.

Интеграция

Утилиты для преобразования результатов анализа PVS-Studio (PlogConverter.exe для Windows и plog-converter для Linux\macOS) теперь поддерживают конвертацию в формат SARIF (Static Analysis Results Interchange Format).

SARIF - это универсальный открытый формат для представления результатов работы инструментов, осуществляющих поиск ошибок, дефектов безопасности и защищённости. Этот формат поддерживается многими статическими анализаторами и позволяет совместно использовать различные инструменты контроля качества кода в единых экосистемах.

В плагин PVS-Studio для JetBrains Rider добавлена поддержка работы с результатами анализа при проверке проектов для Unreal Engine (JetBrains Rider для Unreal Engine доступен сейчас по программе раннего доступа).

SonarQube плагин PVS-Studio теперь умеет ассоциировать сообщения анализатора, имеющие CWE (Common Weakness Enumeration) идентификатор, с сообщениями о дефектах защищённости на вкладке Security Category.

Новые диагностики

Язык C, C++

  • V830. Decreased performance. Consider replacing the use of 'std::optional::value()' with either the '*' or '->' operator.
  • V831. Decreased performance. Consider replacing the call to the 'at()' method with the 'operator[]'.
  • V1064. The left operand of integer division is less than the right one. The result will always be zero.
  • V1065. Expression can be simplified: check similar operands.
  • V1066. The 'SysFreeString' function should be called only for objects of the 'BSTR' type.
  • V1067. Throwing from exception constructor may lead to unexpected behavior.

Язык C#

  • V3156. The argument of the method is not expected to be null.
  • V3157. Suspicious division. Absolute value of the left operand is less than the right operand.
  • V3158. Suspicious division. Absolute values of both operands are equal.
  • V3159. Modified value of the operand is not used after the increment/decrement operation.
  • V3160. Argument of incorrect type is passed to the 'Enum.HasFlag' method.
  • V3161. Comparing value type variables with 'ReferenceEquals' is incorrect because compared values will be boxed.
  • V3162. Suspicious return of an always empty collection.
  • V3163. An exception handling block does not contain any code.
  • V3164. Exception classes should be publicly accessible.

Язык Java

  • V6093. Automatic unboxing of a variable may cause NullPointerException.
  • V6094. The expression was implicitly cast from integer type to real type. Consider utilizing an explicit type cast to avoid the loss of a fractional part.
  • V6095. Thread.sleep() inside synchronized block/method may cause decreased performance.
  • V6096. An odd precise comparison. Consider using a comparison with defined precision: Math.abs(A - B) < Epsilon or Math.abs(A - B) > Epsilon.
  • V6097. Lowercase 'L' at the end of a long literal can be mistaken for '1'.
  • V6098. A method does not override another method from the base class.
  • V6099. The initial value of the index in the nested loop equals 'i'. Consider using 'i + 1' instead.

Дополнительные ссылки

Таблицы соответствий диагностик PVS-Studio различным стандартам:

Свежие публикации в нашем блоге, на которые хочется обратить внимание:

Популярные статьи по теме
PVS-Studio 7.20: Unreal Engine, SAST, SCA

Дата: 18 Авг 2022

Автор: Сергей Васильев

В этом пресс-релизе пробуем новый формат: основная информация кратко изложена в одном разделе. Если интересны детали, есть разделы с более подробным описанием. Выбирайте то, что вам ближе.
PVS-Studio 7.19: что новенького?

Дата: 24 Июн 2022

Автор: Сергей Васильев

Недавно вышла новая версия PVS-Studio – 7.19. В этой заметке расскажем, что нового появилось в анализаторе, какие разделы документации мы улучшили, а также о том, что почитать, посмотреть и... во что…
PVS-Studio 7.18: обновления и улучшения

Дата: 13 Апр 2022

Автор: Сергей Васильев

Мы выпустили новый релиз PVS-Studio – 7.18. В этой заметке расскажем, как развиваем security-направление, зачем нужна новая система типов в C++ анализаторе, как улучшили анализ кода для embedded-сист…
Релиз PVS-Studio 7.17: улучшаем работу с Unreal Engine, ASP.NET Core, Texas Instruments

Дата: 14 Фев 2022

Автор: Сергей Васильев

С радостью представляем вам сводку новостей о первом релизе PVS-Studio в 2022 году. Сегодня поговорим об улучшениях в работе с Unreal Engine и ASP.NET Core проектами, новых диагностиках, а также о то…
PVS-Studio 7.16, взятие рубежей: MISRA C, Visual Studio 2022, .NET 6

Дата: 10 Дек 2021

Автор: Андрей Карпов

Последний релиз в уходящем 2021 году закрывает сразу несколько важных задач, поставленных перед командой PVS-Studio. Добавлена поддержка Visual Studio 2022, платформы .NET 6 и C# 10.0. Для стандарта …

Комментарии (0)

Следующие комментарии
Unicorn with delicious cookie
Мы используем куки, чтобы пользоваться сайтом было удобно. Хотите узнать подробнее?
Принять