В этом пресс-релизе пробуем новый формат: основная информация кратко изложена в одном разделе. Если интересны детали, есть разделы с более подробным описанием. Выбирайте то, что вам ближе.
Security. Покрыли все категории из OWASP Top 10 2021: на каждую есть минимум по одной диагностике. В C# проектах теперь можно искать зависимости с уязвимостями – реализовали SCA (Software Composition Analysis).
Unreal Engine. В Unreal Engine 5.0.3 исправили баг с поиском PVS-Studio: теперь анализ работает без workaround'ов. Ещё мы улучшили анализ UE-проектов: меньше ложных срабатываний, больше хороших.
Кроссплатформенный анализ C и C++ проектов. Доработали утилиты pvs-studio-analyzer и CompilerCommandsAnalyzer: пользоваться ими стало удобнее. Сами утилиты описали в документе.
Интерактив:
Получить триал и загрузить PVS-Studio 7.20 можно здесь. Чтобы не пропускать пресс-релизы и самые интересные статьи, подписывайтесь на рассылки.
OWASP Top 10 2021: ищите дефекты безопасности из всех категорий
В релизе 7.20 мы покрыли последнюю категорию из OWASP Top 10 2021 – A06. Теперь с помощью PVS-Studio можно искать дефекты безопасности из всех категорий, перечисленных в OWASP Top 10.
На специальной странице можно посмотреть, какие диагностические правила ищут проблемы из каждой категории.
SCA: проверяйте зависимости C# проектов на уязвимости
Приложение может быть уязвимо, если использует зависимости c уязвимостями. Чтобы искать "опасные" зависимости, при разработке используют SCA-решения (Software Composition Analysis).
PVS-Studio для C# теперь тоже ищет подобные дефекты безопасности. Анализатор проверяет, из каких компонентов состоит приложение: если находит зависимость с уязвимостью – выдаёт предупреждение.
Подробности описали в документации к диагностическому правилу V5625.
Unreal Engine: больше хороших срабатываний, меньше ложных
В Unreal Engine 5.0.3 исправили баг с поиском PVS-Studio. Теперь анализировать UE 5 проекты можно без workaround'ов.
Кроме того, PVS-Studio теперь лучше понимает код Unreal Engine проектов. Анализатор выдаёт меньше ложных предупреждений и больше знает о типах, специфичных для движка. Например, об аналогах контейнеров из стандартной библиотеки C++.
Документация об анализе Unreal Engine проектов.
Кроссплатформенный анализ C и C++ проектов: улучшения утилит, новая документации
Мы улучшили утилиты кроссплатформенного анализа C и C++ проектов: pvs-studio-analyzer и CompilerCommandsAnalyzer. Например, теперь они лучше определяют тип компилятора, который используется в проекте. Если определить его всё же не удалось, можно задать тип вручную (см. флаг '‑‑compiler').
Сценарии использования, флаги запуска и коды возврата описали в новом разделе документации.
C, C++:
C#:
Рассылки пресс-релизов и лучших статей. Подпишитесь, чтобы не пропускать новые статьи и пресс-релизы. Выборка статей приходит раз в месяц, информация о релизах – раз в два.
Историю о создании рассылок рассказали в отдельной статье.
Игра: найди ошибку в коде на C#. Теперь игра на внимательность доступна и для C# (раньше была только для C++).
Суть игры:
Поиграть: версия для C#, версия для C++.
Делитесь с коллегами, чтобы выяснить, кто самый внимательный баг-хантер. ;)
Тест: кто ты из мира C++. Развлекательный тест, который подскажет, кто вы в мире C++. Подойдёт, чтобы отвлечься на 5 минут и немного разгрузить голову.
Пройти можно здесь.
Почитать. Несколько статей, написанных командой PVS-Studio с прошлого релиза:
Посмотреть. На TechLead Conf 2022 рассказали о том, как SAST-решения ищут дефекты безопасности: ссылка.
Загрузить PVS-Studio 7.20 можно на этой странице, получить триал – тут.
Вопрос напоследок: как вам такой формат пресс-релиза?