Инструмент PVS-Studio активно развивается в сторону выявления дефектов Safety и Security направленности. А именно: улучшается поддержка стандартов MISRA C:2012 и OWASP ASVS. Поддержан стандарт MISRA Compliance 2020. Из необычных нововведений можно назвать режим отображения лучших (наиболее интересных) срабатываний анализатора, который будет полезен для оценки инструмента при знакомстве с ним.
В Visual Studio плагине PVS-Studio появилась возможность легко посмотреть лучшие срабатывания анализатора среди найденных в проверенном проекте. Другими словами, это самые интересные срабатывания, которые демонстрируют возможности анализатора на этапе знакомства с ним.
Мы называем этот новый режим Analyzer Best Warnings. PVS-Studio всегда группировал срабатывания анализатора по 3 уровням достоверности. И эти уровни традиционно использовались для приоритизации просмотра результатов анализа — все лучшие предупреждения должны попадать на 1-ый уровень. В новой версии анализатора мы разработали более точный механизм оценки предупреждений, использующий помимо уровней много дополнительных критериев — как статических (средняя "ценность" диагностики), так и динамических, основанных на срабатываниях анализатора на конкретной кодовой базе (например, частота обнаружения).
Режим отображения лучших предупреждений не является заменой работы с полным отчётом анализатора, т.к. в полном отчёте могут содержаться не менее опасные потенциальные ошибки, на которые также нужно обратить внимание.
В будущих релизах мы планируем расширять возможности нового режима оценки предупреждений, а также добавить его поддержку в другие IDE плагины и режимы интеграции анализа. Подробнее про работу режима Analyzer Best Warnings можно почитать в нашем блоге и документации.
Улучшено качество анализа проектов для Unreal Engine — в C++ анализаторе PVS-Studio были дополнительно проаннотированы несколько сотен стандартных функций из этого игрового движка.
В утилитах для конвертации отчётов поддержана генерация отчёта соответствия на основе стандарта MISRA Compliance 2020. Подробнее про этот формат и генерацию отчёта о соответствии MISRA можно почитать в нашем блоге: Зачем нужен отчёт MISRA Compliance и как его получить в PVS-Studio?
Так как данный релиз посвящен развитию направлений Safety и Security, новые диагностики предназначены расширить поддержку одного из следующих стандартов: MISRA C, AUTOSAR, OWASP.
Достигнута поддержка стандарта MISRA C на уровне 70%. До конца этого года мы планируем увеличить поддержку MISRA C не менее чем до 80%.
Поддержка OWASP Top 10 2017 теперь составляет 9 из 10 категорий. Таким образом, в данном списке осталась лишь одна не поддерживаемая в PVS-Studio категория — использование компонентов с известными уязвимостями. Данная категория относится к классу инструментов, известных как SCA (Software Composition Analysis). В будущих релизах для полного закрытия OWASP Top 10 мы планируем реализовать SCA в PVS-Studio C# анализаторе.
На сайте появилось сопоставление диагностик анализатора PVS-Studio со списком наиболее опасных и распространённых потенциальных уязвимостей CWE Top 25.
В C++ анализаторе PVS-Studio был стандартизован формат выдачи диапазона значений переменных для больших чисел. Изменение текста некоторых сообщений может привести к тому, что они вновь появятся в отчёте, хотя ранее были подавлены с помощью baselining механизма. Если вы столкнулись с этим — пожалуйста, подавите эти предупреждения заново.
В Visual Studio плагине добавлена возможность задавать shortcut'ы для операций подавления ложных срабатываний и разметки предупреждений.
Очередная оптимизация производительности C# анализатора PVS-Studio позволит ускорить проверку крупных проектов за счёт значительного уменьшения времени подготовки (разбора) проекта перед анализом. Подробнее почитать про это можно в нашем блоге.