Мы используем куки, чтобы пользоваться сайтом было удобно.
Хорошо
to the top
close form

Заполните форму в два простых шага ниже:

Ваши контактные данные:

Шаг 1
Поздравляем! У вас есть промокод!

Тип желаемой лицензии:

Шаг 2
Team license
Enterprise license
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности
close form
Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Бесплатная лицензия PVS‑Studio для специалистов Microsoft MVP
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
check circle
Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

Вебинар: C++ ЛИНТЕРЫ — ХОРОШО, НО НЕДОСТАТОЧНО - 20.06

>
>
Кратко о PVS-Studio как SAST решении

Кратко о PVS-Studio как SAST решении

17 Апр 2019

PVS-Studio является средством статического тестирования защищённости приложений (Static Application Security Testing, SAST). Другими словами, анализатор PVS-Studio выявляет не только выход за границы массива, опечатки, мёртвый код и прочие ошибки, но и потенциальные уязвимости.

0625_Briefly_about_PVS_Studio_SAST_ru/image1.png

Существует два подхода к выявлению уязвимостей в коде.

В первом случае анализатор, основываясь на базе общеизвестных уязвимостей CVE, производит поиск опасных фрагментов кода. Это похоже на то, как работают антивирусы. Подход эффективен для выявления известных уязвимостей, которые могли попасть в проект при использовании старых библиотек или методом Copy-Paste.

Рассмотренный подход не отвечает на вопрос, что делать с ещё не выявленными уязвимостями и новым написанным кодом.

Поэтому существует второй подход, когда превентивно выявляются и исправляются участки кода, содержащие дефекты безопасности. Инструмент PVS-Studio на данный момент реализует именно эту стратегию.

Существует база Common Weakness Enumeration (CWE), описывающая паттерны ошибок, которые при стечении обстоятельств можно начать эксплуатировать как уязвимости. На практике только малая часть из найденных CWE-ошибок представляет опасность. С точки зрения разработчика, нет смысла рассуждать, можно или нет использовать тот или иной дефект для атаки. Нужно просто исправить все эти дефекты, и тем самым повысить надёжность приложения.

Анализатор PVS-Studio поддерживает классификацию ошибок согласно CWE. Если PVS-Studio выдал предупреждение и сопоставил его с одним из CWE ID, то обнаружена потенциальная уязвимость, которую следует исправить.

0625_Briefly_about_PVS_Studio_SAST_ru/image2.png

Рекомендуем ознакомиться с ретроспективной статьёй "Как PVS-Studio может помочь в поиске уязвимостей". В ней рассматриваются некоторые уязвимости, которые можно было бы выявить с помощью PVS-Studio ещё на этапе написания кода.

Внедрите статический анализатор кода PVS-Studio в ваш процесс разработки, чтобы повысить качество и надёжность разрабатываемых вами проектов.

Популярные статьи по теме


Комментарии (0)

Следующие комментарии next comments
close comment form