PVS-Studio 7.40: поддержка Visual Studio 2026, Qt Creator 18, проектов для .NET 10 и многое другое

• Плагин PVS-Studio для Visual Studio 2026
• Плагин PVS-Studio для Qt Creator версий 18.x.
• Поддержка анализа проектов на .NET 10
• Улучшение диагностических правил C#-анализатора
• Инструкция по работе в распределённой системе сборки Unreal Build Accelerator
• PVS-Studio с операционной системой Astra Linux
• Breaking changes
• Полный список изменений
• Новые диагностические правила
  • C и C++:
  • C#:
  • Java:
• Статьи
  • Для тех, кто пишет на C/C++:
  • Для тех, кто пишет на C#:
  • Для тех, кто пишет на Java:
  • Статьи общей направленности:
• Вебинары:
  • Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024
  • Оптимизация игр
  • Статический анализ и ASOC: нулевая терпимость к ошибкам в проекте
  • Особенности разработки встроенного ПО по требованиям ФБ
  • Тимлид и 1-to-1. Как, о чём и зачем разговаривать с командой
• Подкасты:
  • Любимые грабли программистов | Ever Secure
  • Зачем продуктовой IT-компании ивенты? | Разбаговка #3
• Доклады:
  • SAST в РБПО. Что требует ГОСТ Р 71207-2024?
  • Митап "Карты, деньги, JVM"
  • SAST под микроскопом: как избежать уязвимостей в исходном коде?

Вышел новый релиз PVS-Studio — 7.40. В нём появилась поддержка Visual Studio 2026 и Qt Creator 18, добавлен анализ проектов на .NET 10, улучшены C#-диагностики и реализовано ещё множество других нововведений! Больше подробностей в этой заметке.

Плагин PVS-Studio для Visual Studio 2026

В новом релизе появилась поддержка плагина PVS-Studio для свежевыпущенной IDE Visual Studio 2026. Теперь можно продолжить использовать все возможности статического анализатора в новой среде разработки, не меняя привычный рабочий процесс.

О том, как работать с плагином, можно прочитать в соответствующем разделе документации.

Плагин PVS-Studio для Qt Creator версий 18.x.

Появилась поддержка плагина PVS-Studio для Qt Creator версий 18.x. Плагин позволяет запускать статический анализ, просматривать предупреждения и работать с кодом, не покидая привычную среду разработки.

Примечание. Прекращена поддержка плагина для версий Qt Creator 13.x. Мы стараемся обеспечивать обратную совместимость по поддержке последних версий плагинов для всех версий Qt Creator за последние два года с момента каждого релиза.

Подробнее о работе с плагином можно прочитать в соответствующем разделе документации.

Поддержка анализа проектов на .NET 10

В C#-анализаторе PVS-Studio появилась возможность проверять проекты на .NET 10. О ключевых нововведениях этой версии мы уже рассказали в статье "Что нового в .NET 10?".

Примечание. На Windows минимальная версия .NET, необходимая для анализа SDK-style проектов, остаётся неизменной — .NET 9. Для анализа C#-проектов на Linux и macOS теперь требуется .NET 10.

Улучшение диагностических правил C#-анализатора

Командой PVS-Studio была проведена работа по улучшению части диагностических правил C#-анализатора, входящих в первую сотню.

Были поддержаны новые конструкции языка, улучшены механизмы PVS-Studio по выявлению проблем в коде и множество других доработок.

Инструкция по работе в распределённой системе сборки Unreal Build Accelerator

В игровом движке Unreal Engine версии 5.5 появился новый инструмент Horde — платформа, позволяющая использовать циклы CPU на других машинах, чтобы распределить нагрузку.

В связи с этим мы расширили раздел документации об использовании PVS-Studio для анализа Unreal Engine проектов, добавив инструкцию об использовании анализатора в распределённой системе сборки Unreal Build Accelerator.

А как использовать данные возможности Unreal Engine и запустить анализ проекта с помощью PVS-Studio сразу на нескольких машинах, можно почитать в статье "Распределённая сборка Unreal Engine проектов с помощью Horde и UBA".

PVS-Studio с операционной системой Astra Linux

Теперь можно использовать PVS-Studio с операционной системой Astra Linux! Мы подтвердили техническую совместимость статического анализатора PVS-Studio с этой системой.

Breaking changes

Данные изменения ломают обратную совместимость с предыдущими версиями PVS-Studio. В связи с этим может потребоваться изменить способ использования анализатора.

• Обновлены ключи для установки анализатора PVS-Studio из .deb и .rpm репозиториев. Может потребоваться переустановить ключи по инструкции из документации.
• Для анализа C#-проектов на Linux и macOS теперь требуется .NET SDK версии 10.

Полный список изменений

Полный список нововведений в PVS-Studio 7.40 можно найти на этой странице.

Новые диагностические правила

C и C++:

• V2023. Absence of the 'override' specifier when overriding a virtual function may cause a mismatch of signatures.
• V2663. MISRA. The macro EOF should only be compared with the unmodified return value of any Standard Library function capable of returning EOF.
• V2664. MISRA. Use of the string handling functions from <string.h> should not result in accesses beyond the bounds of the objects referenced by their pointer parameters.
• V2665. MISRA. The size argument passed to function from <string.h> should have an appropriate value.
• V2666. MISRA. All declarations of an object with an explicit alignment specification should specify the same alignment.

C#:

• V3228. It is possible that an assigned variable should be used in the next condition. Consider checking for misprints.
• V3229. The 'GetHashCode' method may return different hash codes for equal objects. It uses an object reference to generate a hash for a variable. Check the implementation of the 'Equals' method.

Java:

• V5337. OWASP. Possible NoSQL injection. Potentially tainted data is used to create query.
• V5338. OWASP. Possible Zip Slip vulnerability. Potentially tainted data is used in the path to extract the file.

Статьи

Для тех, кто пишет на C/C++:

• Taint-анализ в C и C++ анализаторе PVS-Studio
• Что нам недодали в C++
• Коробка багов (взрывается): кроссплатформенное коварство
• Наследие кода: разбор С и С++ модулей Erlang, которые работают десятилетиями
• Как анализировать C и C++ код без привязки к сборочной системе на Windows
• Превратили PVS-Studio в город
• Стоматологические услуги для компиляторов на примере LLVM 21
• Компьютерное зрение для кода: что PVS-Studio разглядел в OpenCV

Для тех, кто пишет на C#:

• Что нового в .NET 10?
• Обзор нововведений в C# 14
• .NET Digest #9
• Код блокчейн-проектов Neo и NBitcoin VS анализатор кода. Кто-кого?
• Проверяем osu! и рассказываем про фишки статических анализаторов

Для тех, кто пишет на Java:

• Статический анализ OpenIDE
• Как скопировать дерево, но не точь-в-точь
• Баги на всех языках мира. Проверка LanguageTool
• Усыпальница Java
• Катаемся по полям в поисках потенциальных уязвимостей

Статьи общей направленности:

• Как крупнейший в РФ производитель сетевого оборудования Eltex сделал разработку безопаснее благодаря PVS-Studio
• Как СВД ВС использует PVS-Studio в сертифицируемой разработке защищённой ОС
• Аутсорсинг и приказ ФСТЭК N 117, теория РБПО, инструменты
• Что такое Cyber Resilience Act, и какие требования к кибербезопасности он предъявляет?
• Ваши тесты упали по причине JavaScript
• Старайтесь не писать строки кода, которые не помещаются на экран

Вебинары:

Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024

Новый ГОСТ Р 56939-2024 описывает 25 процессов для создания безопасного программного обеспечения (РБПО). Каждый из них можно представить в виде списка действий, направленных на создание более зрелого цикла разработки ПО в компании.

Учебный Центр "МАСКОМ" и PVS-Studio организуют цикл вебинаров, посвящённых разбору этих 25 процессов.

Оптимизация игр

На вебинаре "Оптимизация игр" вместе с экспертами из игровых студий Forgotten Empires и Playrix мы обсудили практические советы по улучшению проектов. Поговорили о тонкостях работы с памятью, кастомных аллокаторах, а также о способах ускорить запуск мобильных игр.

Посмотреть можно по ссылке.

Статический анализ и ASOC: нулевая терпимость к ошибкам в проекте

В ходе вебинара сформулировали принцип "нулевой терпимости" к ошибкам в коде и показали, как статический анализатор служит технической основой для его реализации. На примере C#-проекта продемонстрировали, как инструмент выявляет критические дефекты, уязвимости и code smells до момента попадания кода в репозиторий. Разобрали практические аспекты интеграции с CyberCodeReview для автоматизации контроля качества, включая запуск анализа по триггерам из CI и автоматическое создание задач в Jira. Дали рекомендации по настройке и внедрению процесса, которые помогут вашей команде сократить затраты на исправление ошибок и повысить надежность ПО.

Особенности разработки встроенного ПО по требованиям ФБ

Разработка программного обеспечения (ПО) по требованиям функциональной безопасности (ФБ) согласно ГОСТ Р МЭК 61508 имеет ряд особенностей, включая управление требованиями к ПО, верификацию и валидацию, особые методы проектирования и кодирования, управление изменениями и конфигурацией, диагностику отказов, а также использование инструментальных средств поддержки и их квалификацию.

На вебинаре совместно с экспертами компании FuncSafety мы обсудили некоторые важные аспекты разработки ПО, которые необходимо учитывать для обеспечения функциональной безопасности.

Тимлид и 1-to-1. Как, о чём и зачем разговаривать с командой

Вебинар будет полезен тимлидам, руководителям групп и всем, кто хочет развивать людей профессионально и экологично — без давления, но с результатом. Мы поделились опытом, как использовать 1-to-1 на максималках. 2 спикера, 2 крутые темы.

Подкасты:

Любимые грабли программистов | Ever Secure

На созвоне поговорили о том, к каким типовым ошибкам и опечаткам склонны разработчики. Как с ними можно бороться с помощью стандартов кодирования и статического анализа? Станет ли вайб-кодинг помощником или, наоборот, добавит проблем? Какие новые вызовы стоят перед инструментами анализа в связи с популяризацией технологий генерации кода? Можно ли доверять сгенерированному коду, и не являются ли РБПО и вайб-кодинг противоположно направленными векторами при написании кода?

Посмотреть можно по ссылке.

Зачем продуктовой IT-компании ивенты? | Разбаговка #3

В новом выпуске говорим с event-менеджерами PVS-Studio про важность мероприятий для компании: зачем они нужны, какие цели мы преследуем, как проходит организация и др.

Посмотреть можно по ссылке.

Доклады:

SAST в РБПО. Что требует ГОСТ Р 71207-2024?

ГОСТ Р 71207-2024 вводит требования к статическому анализу и безопасной разработке ПО. В докладе разобрали, что изменилось, зачем это бизнесу и как внедрять стандарт без ущерба для скорости разработки.

Посмотреть можно по ссылке.

Митап "Карты, деньги, JVM"

На митапе PVS-Studio эксперты компании обсудили внутренности JVM и компилятора: разобрали, как JVM оптимизирует динамические вызовы, чем MethodHandle лучше рефлексии, и как компилятор обрабатывает код — от фронтенда до практического применения.

Посмотреть можно по ссылке.

SAST под микроскопом: как избежать уязвимостей в исходном коде?

SAST — это основа безопасной разработки, позволяющая находить уязвимости в коде до его выполнения. В докладе разобрали, как работает SAST и почему его важно интегрировать в процесс разработки как можно раньше. Поговорили о типовых ошибках и уязвимостях, которые он помогает выявить, обсудили стандарты, на которые SAST ориентируется (OWASP, CWE, ГОСТ Р 71207-2024), и затронули практические аспекты внедрения: от настройки до борьбы с ложными срабатываниями. Привели реальные примеры проблем, обнаруженных в открытом коде известных проектов.

Посмотреть можно по ссылке.

Если вы хотите получать новости о новых релизах, можете подписаться на рассылку от команды PVS-Studio.