Всё, что нужно знать для начала работы в PVS-Studio

• Введение
• Сценарии работы
  • Локальный анализ
  • Регулярное использование
  • Серверный анализ
• Поддерживаемые стандарты
  • Надёжность
  • Безопасность
  • РБПО
• Лицензионная политика
• Быстрый старт
  • Просмотр интересных предупреждений анализатора
  • Работа с legacy-проектом
• Опыт наших клиентов
  • Защищённые ОС реального времени СВД ВС
  • Производитель сетевого оборудования Eltex
• Что дальше?

Статический анализатор PVS-Studio — это инструмент для поиска ошибок в коде на протяжении всего жизненного цикла проекта. В этой статье разберём основные особенности нашего анализатора, сценарии и варианты анализа, а также узнаем всё, что нужно знать для старта.

Введение

PVS-Studio — это статический анализатор кода и SAST-инструмент для поиска потенциальных ошибок и уязвимостей в исходном коде проектов на C, C++, C# и Java.

Работает на Windows, Linux и macOS, а из отечественных ОС на Astra Linux, altLinux и РЕД ОС. Анализатор имеет несколько сценариев работы и множество интеграций в различные инструменты. PVS-Studio — это B2B-решение, которым пользуются многие команды и компании по всему миру.

Сценарии работы

Работать с PVS-Studio можно в разных форматах: от использования как плагина для IDE до автоматизации проверок на вашем сервере. Выбор остаётся за вами. Конечно же можно (и нужно) использовать все варианты одновременно для дополнительной возможности обезопасить себя от ошибок посредством интеграции на всех этапах.

Локальный анализ

Один из самых удобных способов использования анализатора — запуск на машинах разработчиков с помощью плагина для IDE или консоли.

Это также самый универсальный подход по вариантам работы в различных платформах:

• Windows, Linux и macOS (а так же Astra Linux, РЕД ОС и др.) ;
• независимые от платформы способ запуска;
• среды разработки;
• сборочные системы;
• игровые движки (PVS-Studio можно использовать для проверки игровых проектов).

Этот вариант использования анализатора является эффективным благодаря раннему выявлению ошибок прямо во время разработки нового функционала или доработки существующего, позволяя быстро вносить изменения в код.

Но ограничиваться этим сценарием не стоит. Для дополнительной страховки — к примеру, от возможности попадания ошибок в систему контроля версий — лучше иметь второй уровень защиты — регулярный запуск статического анализатора на сборочном сервере.

Регулярное использование

Лучшим вариантом будет построение двухуровневой системы проверки исходного кода: локально на машинах разработчиков и на сборочном сервере. Чем раньше обнаружена ошибка, тем меньше стоимость и сложность её исправления. Также мы рекомендуем использование режима инкрементального анализа, который позволяет автоматически запускать проверку только изменённого кода после сборки проекта. Это позволяет оптимизировать и ускорить работу конвейера.

Проверка доступна для pull-request'ов, чтобы упростить процесс обзора кода. Даже в случае попадания ошибки в систему контроля версий её удастся своевременно выявить и исправить, что может спасти время, деньги и репутацию продукта.

Помимо плюсов раннего исправления, нужно учитывать важность именно регулярности статического анализа. Если анализировать изменения единожды, например, перед релизом, то это чревато проблемами:

• увеличение времени разметки предупреждений;
• ухудшение экспертизы предупреждений (чем больше срабатываний разбирается за раз, тем легче что-то упустить);
• усложнение процесса исправления ошибок (за счёт больших промежутков времени между попаданием ошибки в код и её обнаружением разработчику придётся заново погружаться в задачу).

Более подробно про регулярное использование PVS-Studio, интеграции в инструменты CI и рекомендации по настройке можно узнать на этой странице.

Помимо вашей внутренней инфраструктуры вы всегда можете настроить анализ на сервисах непрерывной интеграции в облаке. PVS-Studio интегрируется в большинство самых известных облачных CI. Полный список и инструкции к ним можно найти на этой странице.

Серверный анализ

Анализ проектов можно интегрировать в ночные сборки и каждое утро получать подробный отчёт о состоянии кодовой базы. Благодаря регулярному оперативному получению информации обо всех ошибках можно сразу исправлять проблемный код.

Отличительной особенностью этого сценария является то, что анализатор обладает всем контекстом проекта. Это повышает эффективность работы инструмента за счёт межмодульного анализа, который выявляет проблемы в разных частях программы.

К примеру, потенциальная ошибка возникла в одном файле (допустим, не проверили объект на null), а последствия случились в другом месте программы (обратились к этому объекту и произошёл NullReferenceException).

А чтобы ещё сильнее повысить эффективность статического анализатора, можно обратиться к инструментам контроля качества кода (веб-дашборд). Они позволяют улучшить взаимодействие с отчётом и дают возможность не менять привычный пайплайн работы. Благодаря им появляется дополнительный функционал взаимодействия с результатами анализа PVS-Studio: визуализация, объединение результатов и управление процессом устранения ошибок, а также многое другое.

Полный список поддерживаемых инструментов и инструкции к интеграциям можно найти в документации.

Поддерживаемые стандарты

PVS-Studio — SAST-решение (Static Application Security Testing), которое ищет дефекты безопасности и помогает повысить защищённость кода.

Надёжность

Надёжность особенно важна в тех сферах, где дефекты ПО критичны, например в космической или медицинской отрасли, машиностроении. Ошибки в приложениях с высокими требованиями к надёжности могут привести к потерям миллионов долларов или даже человеческим жертвам.

Для написания надёжного кода разработчики используют специальные стандарты, например MISRA C, MISRA C++, AUTOSAR Coding Guidelines.

PVS-Studio помогает искать отклонения от этих стандартов. Таблицы соответствия диагностик PVS-Studio:

• MISRA C и MISRA C++ Coding Standards
• AUTOSAR C++14 Coding Guidelines

Безопасность

Защищённый код устойчив к атакам злоумышленников: SQL-инъекциям, XEE, XXE и т. д. Защищённость особенно важна в приложениях, которые работают с пользовательскими данными (в банковском ПО, веб-приложениях и т. д.).

Чтобы приложения были защищёнными, команды выстраивают цикл безопасной разработки (SSDLC). Один из его этапов — поиск проблем безопасности с помощью SAST (Static Application Security Testing).

Для написания безопасного кода также существуют специальные стандарты. Таблицы соответствия диагностик PVS-Studio списку потенциальных уязвимостей (CWE) и стандартам безопасной разработки:

• Common Weakness Enumeration (CWE)
• OWASP ASVS (Application Security Verification Standard)
• SEI CERT Coding Standards

Среди всех дефектов безопасности выделяют наиболее опасные и распространённые. Здесь можно узнать о том, как PVS-Studio помогает в борьбе с ними:

• OWASP Top 10 Web Application Security Risks
• CWE Top 25 Most Dangerous Software Weaknesses

РБПО

Помимо международных стандартов надёжности и безопасности PVS-Studio разрабатывается с учётом требований, предъявляемых к статическим анализаторам согласно ГОСТ Р 71207—2024. PVS-Studio выявляет критические ошибки и может использоваться при разработке безопасного программного обеспечения по ГОСТ Р 71207—2024 и ГОСТ Р 56939—2024.

Детальная информация по поддержке стандартов представлена в публикации: "Статический анализатор кода PVS-Studio в 2026: ГОСТ Р 71207, ГОСТ Р 56939, приказ ФСТЭК N117".

Статический анализатор PVS-Studio успешно применяется испытательными лабораториями, аккредитованными в системах сертификации средств защиты информации ФСТЭК России в рамках работ по сертификационным испытаниям программных продуктов. Более подробно про сертификацию ФСТЭК можно прочитать на этой странице.

Лицензионная политика

Перед началом работы мы советуем ознакомиться с вариантами лицензий PVS-Studio и подобрать наиболее подходящую для вас.

PVS-Studio — это командный инструмент, поэтому у нас нет single user license. Лицензии пакетные по числу человек в команде. Однако у нас политика гибкого лицензирования, что упрощает работу с инструментом. Вот основные особенности:

• лицензия рассчитывается по числу человек в команде, которые взаимодействуют с репозиториями, которые будут проверяться, а не просто по количеству задействованных машин;
• в одну лицензию можно объединить разработчиков нескольких отделов/проектов;
• нет ограничений по количеству кода, диагностикам, новым версиям;
• работа в поддержке ведётся напрямую от разработчиков.

Два основных типа лицензии

• Team — до 9 человек. Для малых команд. Включает в себя базовые функции анализатора;
• Enterprise — для больших команд. Больше возможностей, вариантов использования и повышенный приоритет в поддержке.

Team-лицензия

Team-лицензия предназначена для небольших команд. Предоставляется командам до 9 разработчиков (включительно).

Включает в себя базовую поддержку:

• помощь с внедрением в процесс разработки;
• оперативное исправление проблем с анализатором;
• одновременную работу с одним обращением в поддержке.

Включает в себя весь основной функционал анализатора, но имеет ряд функциональных ограничений, относящихся к инструментам управления качеством процесса разработки (недоступны автоматические уведомления, интеграция с облачными сервисами, ограничения на инкрементальный анализ и др.)

Enterprise-лицензия

Лицензии Enterprise типа предназначены для средних и больших команд и не имеют ограничений по использованию возможностей анализатора. Одна Enterprise-лицензия также может использоваться сразу несколькими командами в компании, в том числе несколькими небольшими командами.

Включает в себя весь основной функционал анализатора и дополнительные особенности этого варианта лицензирования. В них входят:

• адаптация возможностей наших инструментов для особенностей экосистемы заказчика;
• одновременная работа с несколькими тикетами в поддержке;
• анализ файлов, изменившихся с момента предыдущей сборки;
• инкрементальный анализ может использоваться как локально, так и на CI-сервере.

Быстрый старт

Просмотр интересных предупреждений анализатора

Если вы только начали изучать инструмент статического анализа и хотели бы узнать, на что он способен, то можете воспользоваться механизмом Best Warnings. Он предназначен специально для первого знакомства со статическим анализатором PVS-Studio.

Этот механизм покажет наиболее важные и достоверные предупреждения в отчёте для вашего проекта. Чтобы отобразить самые интересные предупреждения, нужно нажать кнопку Best:

Отчёт содержит 10 предупреждений, на основе которых можно сделать вывод о потенциальной полезности остальных сообщений анализатора.

Работа с legacy-проектом

В PVS-Studio существует механизм массового подавления предупреждений. Он применяется, например, когда анализатор впервые внедряется в уже существующий проект и выдаёт большое количество предупреждений на весь код.

Для того, чтобы работать с инструментом на новом коде, но при этом иметь возможность вернуться к выданным на legacy-код предупреждениям, и используется массовое подавление.

В результате в отчёт будут попадать только предупреждения для нового кода. Использование этого режима не требует модификации файлов с исходным кодом проекта.

Подробнее об этом режиме можно почитать в документации.

Опыт наших клиентов

Недавно в блоге мы начали новую серию материалов, где компании делятся опытом по работе с PVS-Studio.

Защищённые ОС реального времени СВД ВС

В кейсе разбирается опыт внедрения анализатора в разработку сертифицируемой защищённой ОС: как PVS-Studio стал частью полного цикла безопасной разработки от интеграции в специальную версию IDE до регулярной проверки кода и прохождения сертификации.

Дополнительно рассматривается, как инструмент помогает соответствовать требованиям сертификационных органов.

Более подробно про опыт интеграции PVS-Studio написано в статье "Как СВД ВС использует PVS-Studio в сертифицируемой разработке защищённой ОС".

Производитель сетевого оборудования Eltex

В кейсе компании Eltex — одного из крупнейших производителей сетевого оборудования в России — рассмотрели пример автоматизации поиска ошибок и снижения нагрузки на code review с помощью PVS-Studio.

В материале рассказываем, как инструмент встраивается в разработку и сборку проекта для выявления потенциальных уязвимостей на ранних этапах.

Более подробно про результаты интеграции PVS-Studio написано в статье "Как крупнейший в РФ производитель сетевого оборудования Eltex сделал разработку безопаснее благодаря PVS-Studio".

Что дальше?

Если вы заинтересовались инструментом, то попробуйте анализатор на вашем проекте и составьте мнение об анализе сами. Получить пробную лицензию можно здесь.

Вы можете ознакомиться с полной версией документации по этой ссылке.

Если у вас остались вопросы про настройку анализатора или работу инструмента, вы можете задать их в комментариях под статьёй или в форме обратной связи.