metrica
Мы используем куки, чтобы пользоваться сайтом было удобно.
Хорошо
to the top
close form

Заполните форму в два простых шага ниже:

Ваши контактные данные:

Шаг 1
Поздравляем! У вас есть промокод!

Тип желаемой лицензии:

Шаг 2
Team license
Enterprise license
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности
close form
Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Бесплатная лицензия PVS‑Studio для специалистов Microsoft MVP
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
check circle
Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
Кратко о PVS-Studio как SAST решении

Кратко о PVS-Studio как SAST решении

17 Апр 2019

PVS-Studio является средством статического тестирования защищённости приложений (Static Application Security Testing, SAST). Другими словами, анализатор PVS-Studio выявляет не только выход за границы массива, опечатки, мёртвый код и прочие ошибки, но и потенциальные уязвимости.

0625_Briefly_about_PVS_Studio_SAST_ru/image1.png

Существует два подхода к выявлению уязвимостей в коде.

В первом случае анализатор, основываясь на базе общеизвестных уязвимостей CVE, производит поиск опасных фрагментов кода. Это похоже на то, как работают антивирусы. Подход эффективен для выявления известных уязвимостей, которые могли попасть в проект при использовании старых библиотек или методом Copy-Paste.

Рассмотренный подход не отвечает на вопрос, что делать с ещё не выявленными уязвимостями и новым написанным кодом.

Поэтому существует второй подход, когда превентивно выявляются и исправляются участки кода, содержащие дефекты безопасности. Инструмент PVS-Studio на данный момент реализует именно эту стратегию.

Существует база Common Weakness Enumeration (CWE), описывающая паттерны ошибок, которые при стечении обстоятельств можно начать эксплуатировать как уязвимости. На практике только малая часть из найденных CWE-ошибок представляет опасность. С точки зрения разработчика, нет смысла рассуждать, можно или нет использовать тот или иной дефект для атаки. Нужно просто исправить все эти дефекты, и тем самым повысить надёжность приложения.

Анализатор PVS-Studio поддерживает классификацию ошибок согласно CWE. Если PVS-Studio выдал предупреждение и сопоставил его с одним из CWE ID, то обнаружена потенциальная уязвимость, которую следует исправить.

0625_Briefly_about_PVS_Studio_SAST_ru/image2.png

Рекомендуем ознакомиться с ретроспективной статьёй "Как PVS-Studio может помочь в поиске уязвимостей". В ней рассматриваются некоторые уязвимости, которые можно было бы выявить с помощью PVS-Studio ещё на этапе написания кода.

Внедрите статический анализатор кода PVS-Studio в ваш процесс разработки, чтобы повысить качество и надёжность разрабатываемых вами проектов.

Популярные статьи по теме
Уязвимость XSS в приложении ASP.NET: разбираем CVE-2023-24322 в CMS mojoPortal

Дата: 31 Май 2023

Автор: Сергей Васильев

В этой статье изучим с разных сторон уязвимость XSS в CMS, написанной на C#. Вспомним теорию, разберёмся, как дефект безопасности выглядит со стороны пользователя и кода, а также поупражняемся в...
Снятся ли разработчикам безопасные приложения?

Дата: 25 Апр 2023

Автор: Сергей Васильев

Волнует ли разработчиков безопасность кода? Для меня вопрос открыт. Эта статья — своего рода опрос: хочу собрать мнения как разработчиков, так и специалистов по безопасности. Поможете?
GPT-3 нашёл 213 Security Vulnerabilities... Или не нашёл

Дата: 11 Апр 2023

Автор: Андрей Карпов

Этот текст является развёрнутым комментарием к статье "I Used GPT-3 to Find 213 Security Vulnerabilities in a Single Codebase".
Парсинг string в enum ценой в 50 Гб: разбираем уязвимость CVE-2020-36620

Дата: 21 Мар 2023

Автор: Сергей Васильев

В этой заметке разберём уязвимость CVE-2020-36620 и посмотрим, как NuGet-пакет для конвертации string в enum может сделать C# приложение уязвимым к DoS-атакам.
Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности

Дата: 26 Янв 2023

Автор: Сергей Васильев

Сегодня речь о том, как SAST-решения ищут дефекты безопасности. Расскажу, как разные подходы к поиску потенциальных уязвимостей дополняют друг друга, зачем нужен каждый из них и как теория ложится на…


Комментарии (0)

Следующие комментарии next comments
close comment form