PVS-Studio 7.42: тестирование новых анализаторов, расширение поддержки MISRA C++ 2023 и многое другое

• Тестирование JavaScript и Go анализаторов
• MISRA C++ 2023
• Изменения в политике бесплатного лицензирования
• Новые интеграции
  • Qt Creator 19
  • Интеграция в SourceCraft
  • Официальная интеграция в CMake
• Окончание поддержки диагностики 64-битных ошибок
• Улучшения анализаторов
• Новые диагностические правила
  • C и C++
  • C#
  • Java
• Статьи
  • C и C++
  • C#
  • Java
  • Go
  • Другое
• Информационный ресурс по безопасной разработке
• Вебинары
  • Статический анализ кода в методическом документе ЦБ РФ "Профиль защиты"
  • Инструменты для разработчиков игр и не только
  • Как повысить эффективность команды разработки
  • Механизмы в SAST-решениях для выявления дефектов из OWASP Top Ten
• Подкасты
• Завершение

Вышел новый релиз PVS-Studio — 7.42. В нём расширение поддержки MISRA C++ 2023, плагин для Qt Creator 19, официальная интеграция в CMake и другие полезные изменения. Подробнее о них в этой заметке.

Тестирование JavaScript и Go анализаторов

6 апреля мы запустили период открытого тестирования новых анализаторов кода для JavaScript и Go. Прежде чем выпустить новые инструменты в релиз нам важно всесторонне их протестировать и собрать обратную связь от пользователей.

В первой версии JavaScript и Go анализаторы содержат по двадцать диагностических правил, CLI для каждого анализатора, а также плагины для сред разработки WebStorm и GoLand.

Месяцем позже для тестирования станет доступен анализатор для TypeScript и новая версия расширения для Visual Studio Code, включающая поддержку новых анализаторов.

Также для тестирования доступна платформа контроля качества кода PVS-Studio Atlas — новое решение для управления результатами анализа кода с возможностью разметки предупреждений.

Чтобы принять участие в тестировании, необходимо заполнить форму на нашем сайте.

MISRA C++ 2023

В прошлой версии PVS-Studio мы завершили работы по покрытию стандарта MISRA C 2023, обеспечив его поддержку на уровне 86%.

Но на этом мы не заканчиваем работу над поддержкой стандартов MISRA. С этой версии мы начали работы по покрытию стандарта MISRA C++ 2023.

Мы адаптировали 22 существующих диагностических правила группы MISRA под стандарт MISRA C++ 2023, а также добавили в плагины PVS-Studio для IDE и утилиты командной строки возможность выбора версии MISRA C++.

Подробнее о поддержке стандартов MISRA можно прочитать на этой странице.

Изменения в политике бесплатного лицензирования

Мы прекратили поддержку бесплатного использования анализатора с помощью специальных комментариев в коде. Если вы использовали анализатор таким образом, необходимо получить активационный ключ одним из других доступных способов.

Также изменения коснулись бесплатного использования нашего инструмента студентами и преподавателями. На данный момент программа студенческого лицензирования приостановлена, чтобы проработать её обновлённые условия. Мы сообщим, когда получение студенческих лицензий будет снова доступно. Чтобы не пропустить эти новости, можно подписаться на нашу рассылку.

Без изменений остаются условия бесплатного лицензирования для открытых проектов, публичных экспертов в области безопасности и Microsoft MVP. Прочитать про них подробнее можно по ссылке.

Новые интеграции

Qt Creator 19

Появилась поддержка плагина PVS-Studio для Qt Creator версий 19.x. Плагин позволяет запускать анализ, просматривать предупреждения и работать с кодом, не покидая привычную среду разработки.

Прекращена поддержка плагина для версий Qt Creator 13.x. Мы стараемся обеспечивать обратную совместимость по поддержке последних версий плагинов для всех версий Qt Creator за последние два года с момента каждого релиза.

Подробнее о работе с плагином можно прочитать в документации.

Интеграция в SourceCraft

SourceCraft — платформа, с помощью которой можно разрабатывать исходный код, управлять версиями, тестировать, собирать, развёртывать и сопровождать программные продукты.

Мы проверили техническую совместимость PVS-Studio с этой платформой и описали процесс её использования в нашей документации.

Официальная интеграция в CMake

Начиная с версии 4.3.0 сборочная система CMake имеет встроенный механизм для работы с PVS-Studio, при котором срабатывания анализатора будут появляться в процессе компиляции проекта.

Подробнее об этом можно прочитать в документации.

Окончание поддержки диагностики 64-битных ошибок

Начиная с этой версии мы приостановили дальнейшую разработку диагностических правил группы "Диагностика 64-битных ошибок". Они больше не будут развиваться и в будущем могут быть отключены.

Если вы используете эти правила, свяжитесь с нашей поддержкой, чтобы мы помогли найти замену или предложили альтернативное решение.

Улучшения анализаторов

В C и C++ анализаторе уменьшено время анализа шаблонного кода за счёт улучшения механизма его обработки. Также улучшены вычисление и анализ простых функций в зависимости от контекста, с которым они вызываются.

В C# анализаторе добавлены дополнительные механизмы для отладки его работы. Когда анализатор не может получить встроенные .NET-типы, выдаётся новое предупреждение V053. Добавлен флаг --createBinaryLogs для логирования работы механизмов Roslyn. Подробнее об этом написано в документации.

Также в C# анализаторе исправлена ошибка при проверке .NET Framework проектов не SDK стиля, которая возникала после обновления Visual Studio 2026 до версии 18.4.0+.

Новые диагностические правила

C и C++

• V1119. Preprocessing directive is present within a macro argument. This leads to undefined behavior.

C#

• V3232. Use of externally-controlled format string. Potentially tainted data is used as a format string.

Java

• V6133. Dereferencing the parameter without a null check. Passing the 'null' value to the 'equals' method should not cause 'NullPointerException'.
• V6134. It is not recommended to throw exceptions from the 'equals' method.

Статьи

А вот и традиционная подборка публикаций из нашего блога! За прошедшие два месяца мы выпустили статьи, в которых погружались в вайбкод, разбирали различные нюансы кода на C++, праздновали день рождения и многое другое. Полный список статей по разным темам представлен ниже.

C и C++

• Как далеко видит lookup в C++?
• Комментарии, которые пережили ошибки
• Экзотика или...? Об OpenBSD с Вячеславом Воронцовым
• Давайте заглянем в этот самый вайб-код
• Как работает выбор catch-блока при обработке исключений

C#

• О дивный новый C#
• Песочница ошибок: проверка игрового движка S&Box

Java

• Closed-world assumption в Java

Go

• ^ != <<

Другое

• PVS-Studio 18 лет! Принимаем поздравления!
• Всё, что нужно знать для начала работы в PVS-Studio
• "Нажмите сюда, если не работает"

Информационный ресурс по безопасной разработке

Мы создали целый информационный ресурс, посвящённый разработке безопасного программного обеспечения (РБПО) по ГОСТ Р 56939-2024.

В основу этого ресурса легли 30 вебинаров из цикла "Вокруг РБПО", публикации и доклады от PVS-Studio и цикл из 70 постов в Telegram-канале Андрея Карпова "Бестиарий программирования""

Узнать подробнее и получить доступ к материалам можно здесь.

Вебинары

Статический анализ кода в методическом документе ЦБ РФ "Профиль защиты"

Обсудили ключевые изменения в Профиле защиты прикладного ПО, требования к инструментам статического анализа кода, а также роль ГОСТ Р 56939—2024 и ГОСТ Р 71207—2024 при реализации требований безопасности в финансовых организациях.

Инструменты для разработчиков игр и не только

Вместе с экспертами из Forgotten Empires и Playrix мы разобрались, какие инструменты входят в арсенал GameDev-команд, зачем они нужны, и почему профилировщики играют ключевую роль в разработке.

Как повысить эффективность команды разработки

Поговорили о системном управлении, автоматизации и инструментах, которые реально экономят время и ресурсы.

Столяров Альфред Игоревич, директор компании EvApps, рассказал, почему увеличение штата не работает. Он разобрал, почему масштабирование через наём часто оказывается иллюзией, где на самом деле находятся узкие места в разработке и как выстроить систему управления, основанную на процессах и данных, а не на интуиции.

Филатов Валерий, Developer Advocate в PVS-Studio, пояснил, как статический анализ может сэкономить время команды разработки. Речь шла о том, как правильно внедрять и автоматизировать статический анализ, сокращать время проверки кода, настраивать уведомления и использовать агрегирующие дашборды, чтобы инструмент ускорял процесс, а не становился дополнительной нагрузкой.

Механизмы в SAST-решениях для выявления дефектов из OWASP Top Ten

На вебинаре вместе с Лукой Сафоновым, лидером российского отделения консорциума OWASP, разобрали OWASP Top Ten. Поговорили о том, почему так важно проверять исходный код на наличие потенциальных уязвимостей, и как с этой задачей помогают справляться SAST-инструменты. А также рассмотрели механизмы, которые позволяют выявлять потенциальные уязвимости и дефекты безопасности.

Подкасты

За прошедшее с прошлого пресс-релиза время мы выпустили целых два выпуска подкаста "Разбаговка"!

В выпуске со Славой Грисом мы обсудили разработку игр, а именно:

• Как Слава оказался в геймдеве?
• Как создавать игры "не для всех"?
• Как устроена инди-разработка?
• Почему быть "маленьким" разработчиком — это круто?

В выпуске с Vudi Kingyru обсудили, что такое блокчейн, NFT, TON и поговорили про то, чем живёт криптоиндустрия сегодня. Этот диалог особенно интересен в контексте происходящего крипто-бума, чтобы понять судьбу лопнувших пузырей.

Завершение

Если вы хотите получать новости о новых релизах PVS-Studio, можете подписаться на нашу рассылку.

А если вы ещё не проверяли свой проект с помощью PVS-Studio, можно начать с пробной лицензии.