Мы используем куки, чтобы пользоваться сайтом
было удобно.
Вышел новый релиз PVS-Studio — 7.37. Встречайте расширенный механизм анализа помеченных данных, возможность выбора версии стандарта MISRA, поддержку анализа MSBuild проектов на основе SLNX и ещё много других обновлений! Больше подробностей в этой заметке.
Загрузить актуальную версию PVS-Studio можно по этой ссылке.
В новой версии анализаторы PVS-Studio обзавелись улучшениями в механизме анализа помеченных данных.
В C++ анализаторе PVS-Studio этот механизм теперь распространяется на диагностики поиска других типов ошибок: деления на ноль, выхода за границу буфера, побитового сдвига на недостоверное значение, знакового переполнения и передачи аргументом недостоверного значения.
В C# и Java анализаторах был добавлен учёт помеченных данных при выходе за границу массива, определении переполнения и потенциальном делении на ноль.
Эти изменения позволили анализатору находить ошибки и потенциальные уязвимости в большем количестве сценариев.
Настройка, позволяющая выбрать версию стандарта MISRA C Coding Guidelines, была добавлена в плагины PVS-Studio для интегрированных сред разработки Visual Studio Code, Qt Creator, CLion и Rider, а также в утилиты командной строки PVS-Studio_Cmd.exe и pvs-studio-analyzer.
В прошлой версии PVS-Studio подобная настройка была добавлена в плагин PVS-Studio для интегрированной среды разработки Visual Studio.
В анализаторе MSBuild-проектов появилась возможность анализировать проекты на основе файла решения SLNX — нового и более лаконичного формата файлов решений, добавленного в .NET SDK 9.0.200.
В C и C++ анализаторе была улучшена поддержка стандарта C23 с добавлением поддержки ключевых слов constexpr и alignas.
Также была улучшена работа C и C++ анализатора со стандартной библиотекой. Был улучшен разбор brace-initilalizer-list для встроенных контейнеров, а также были проаннотированы std::min, std::max, std::unique_ptr<T[]>::reset и std::unique_ptr<T[]>::release.
Плагин PVS-Studio для Qt Creator портирован на комплект разработчика для операционной системы Нейтрино на Windows. Из данного комплекта поддержана работа с Qt Creator 6 (Qt 5.14.2).
Был добавлен раздел документации, который объясняет, как интегрировать результаты анализа кода в систему управления безопасностью Securitm. В нем подробно описаны шаги по подключению, настройке отчётов и взаимодействию с системой.
Примечание. Ознакомиться с новым разделом документации можно здесь.
Ранее в плагинах PVS-Studio для интегрированных сред разработки, а также в утилитах командной строки была добавлена возможность включения SAST-идентификаторов для сообщений анализатора, относящихся к потенциальным угрозам безопасности (Security Related Issues).
Теперь подобная возможность добавлена и в файлы конфигурации диагностик .pvsconfig.
Примечание. Подробнее о файлах конфигурации диагностик можно прочитать в соответствующем разделе нашей документации.
Напомним, что идентификаторы Security Related Issues позволяют идентифицировать срабатывания анализатора, которые классифицируются как критические ошибки в стандарте ГОСТ Р 71207-2024, описывающем использование статических анализаторов в процессе безопасной разработки программного обеспечения.
Эти изменения ломают обратную совместимость с предыдущими версиями анализатора. В связи с этим вам может потребоваться изменить способ использования анализатора.
C, C++:
C#:
Java:
Для тех, кто пишет на C++:
Для тех, кто пишет на C#:
Для тех, кто пишет на Java:
Статьи общей направленности:
Рассказали, как повысить безопасность кода с помощью современных инструментов. PVS-Studio — мощный статический анализатор, выявляющий ошибки и уязвимости в коде, и AppSec.Hub — платформа DevSecOps от AppSec Solutions, которая автоматизирует внедрение инструментов безопасности и управление процессами безопасной разработки. На вебинаре эксперты продемонстрировали возможности продуктов и объяснили, как интегрировать PVS-Studio в AppSec.Hub для создания эффективного конвейера DevSecOps. Показали на практике, как сократить время на поиск уязвимостей и улучшить качество ПО.
Разобрали часть требований стандартов 56939-2024 и 71207-2024 в области регулярного статического анализа. Объяснили, как выстроить этот самый регулярный статический анализ в рамках РБПО, автоматизировать его через системы CI и значительно ускорить пайплайн за счёт эффективных подходов. Рассказали, как интеграция анализа в процесс разработки поможет найти уязвимости раньше и сэкономить ресурсы команды.
На экспертном вебинаре от PVS-Studio и ООО "СВД ВС" рассказали, как создавать надёжное и безопасное ПО с помощью современных инструментов разработки. Представили обзор комплекта разработчика для ОС Нейтрино с кроссплатформенными решениями для Linux и Windows. Продемонстрировали интеграцию PVS-Studio в Qt Creator для автоматического выявления ошибок, уязвимостей и проверки соответствия стандартам (SAST, MISRA, CWE), а также показали практические кейсы с примерами работы инструментов в реальных проектах.
Начали выпуск серии докладов про новый ГОСТ Р 56939-2024. В первой части разбираем причины разработки и выпуска этой версии ГОСТа.
Во второй части говорим про содержание нового ГОСТа и его структуру.
Говорим про возможные подходы к парсингу C++ в НЕ компиляторах. Нужен ли полноценный парсер? Если нужен, то почему? Можно ли использовать готовые парсеры, в том числе из компиляторной инфраструктуры (типа Clang)? Зачем может понадобиться собственный парсер и с какими проблемами придётся столкнуться при его создании.
Поговорим о сложностях и особенностях разработки безопасного ПО в России. Какие ГОСТ за это отвечают. Какие есть старые и новые стандарты. При чём тут ФСТЭК и анализатор кода PVS-Studio. Какие методики оценки есть у РБПО и как написать действительно безопасное ПО. Почему "критическая ошибка" не всегда то, чем кажется?
На подкасте поговорили о развитии статических анализаторов, о ГОСТ Р 71207-2024. О том, как инструмент PVS-Studio под стандарт адаптировали и продолжают это делать. Рассказали про испытания статических анализаторов под руководством ФСТЭК. И, конечно, ответили на вопросы зрителей.
Хотите проверить свой проект с помощью PVS-Studio? Начните с этой страницы.
Если вы хотите получать новости о новых релизах, подпишитесь на рассылку от компании PVS-Studio по этой ссылке.
0
0
0
7
0
24
0
34
0
Мы ответим вам на
Если вы так и не получили ответ, пожалуйста, проверьте, отфильтровано ли письмо в одну из следующих стандартных папок:
0