forum.opennet.ru

Составление сообщения

Исходное сообщение

"Использование PVS-Studio для поиска дефектов безопасности (р..."
Отправлено opennews, 21-Мрт-17 00:16

Разработчики PVS-Studio (http://www.viva64.com/ru/pvs-studio/), коммерческого статического анализатора кода на языках C, C++ и C#, выступили (https://www.viva64.com/ru/b/0486/) с инициативой выявления в открытых проектах ошибок, которые могут привести к возникновению уязвимостей. Для упрощения анализа подобных ошибок составлена таблица соответствия предупреждений PVS-Studio и идентификаторов CWE (http://cwe.mitre.org/) (Common Weakness Enumeration), определяющих типовые ошибки, которые могут привести к появлению уязвимостей. Для примера продемонстрировано (https://www.viva64.com/ru/b/0486/#ID0EBTBI) несколько предупреждений в Apache httpd, которые потенциально представляют угрозу безопасности.
Анализатор PVS-Studio всегда умел искать слабые места (потенциальные уязвимости) в коде программ, но исторически сложилось, что PVS-Studio позиционировался как инструмент для поиска ошибок, а не потенциальных уязвимостей. Станет та или иная ошибка в коде причиной уязвимости зависит от множества различных факторов - дефект иногда можно эксплуатировать, а иногда нет, как повезёт. Существенно то, что, устраняя ошибки, описанные в CWE, программист заранее защищает код от множества уязвимостей.
Команда разработчиков PVS-Studio заинтересовалась устранением потенциальных уязвимостей в различных проектах и решила отражать отдельные мероприятия по поиску уязвимостей в виде небольших еженедельных отчётов. В первом (https://www.viva64.com/ru/b/0484/) таком отчёте разработчики PVS-Studio написали о дефектах в C# проектах (CoreFX, MSBuild). Второй (https://www.viva64.com/ru/b/0487/) отчёт более интересен сообществу программистов на C и C++, и рассматривает потенциальные проблемы с безопасностью в таких проектах как FreeBSD, GCC и Clang. Как результат, разработчикам проверенных проектов направлены патчи или заведены сообщения о проблемах.

Дополнительно можно отметить новую статью (https://www.viva64.com/ru/b/0488/) о том, как и почему статические анализаторы борются с ложными срабатываниями.
URL: https://www.viva64.com/ru/b/0486/
Новость: https://www.opennet.ru/opennews/art.shtml?num=46222

Исходное сообщение
"Использование PVS-Studio для поиска дефектов безопасности (р..." Отправлено opennews, 21-Мрт-17 00:16
Разработчики PVS-Studio (http://www.viva64.com/ru/pvs-studio/), коммерческого статического анализатора кода на языках C, C++ и C#, выступили (https://www.viva64.com/ru/b/0486/) с инициативой выявления в открытых проектах ошибок, которые могут привести к возникновению уязвимостей. Для упрощения анализа подобных ошибок составлена таблица соответствия предупреждений PVS-Studio и идентификаторов CWE (http://cwe.mitre.org/) (Common Weakness Enumeration), определяющих типовые ошибки, которые могут привести к появлению уязвимостей. Для примера продемонстрировано (https://www.viva64.com/ru/b/0486/#ID0EBTBI) несколько предупреждений в Apache httpd, которые потенциально представляют угрозу безопасности. Анализатор PVS-Studio всегда умел искать слабые места (потенциальные уязвимости) в коде программ, но исторически сложилось, что PVS-Studio позиционировался как инструмент для поиска ошибок, а не потенциальных уязвимостей. Станет та или иная ошибка в коде причиной уязвимости зависит от множества различных факторов - дефект иногда можно эксплуатировать, а иногда нет, как повезёт. Существенно то, что, устраняя ошибки, описанные в CWE, программист заранее защищает код от множества уязвимостей. Команда разработчиков PVS-Studio заинтересовалась устранением потенциальных уязвимостей в различных проектах и решила отражать отдельные мероприятия по поиску уязвимостей в виде небольших еженедельных отчётов. В первом (https://www.viva64.com/ru/b/0484/) таком отчёте разработчики PVS-Studio написали о дефектах в C# проектах (CoreFX, MSBuild). Второй (https://www.viva64.com/ru/b/0487/) отчёт более интересен сообществу программистов на C и C++, и рассматривает потенциальные проблемы с безопасностью в таких проектах как FreeBSD, GCC и Clang. Как результат, разработчикам проверенных проектов направлены патчи или заведены сообщения о проблемах. Дополнительно можно отметить новую статью (https://www.viva64.com/ru/b/0488/) о том, как и почему статические анализаторы борются с ложными срабатываниями. URL: https://www.viva64.com/ru/b/0486/ Новость: https://www.opennet.ru/opennews/art.shtml?num=46222

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики PVS-Studio (http://www.viva64.com/ru/pvs-studio/), коммерческого статического 
> анализатора кода на языках C, C++ и C#, выступили (https://www.viva64.com/ru/b/0486/) 
> с инициативой выявления в открытых проектах ошибок, которые могут привести к 
> возникновению уязвимостей. Для упрощения анализа подобных ошибок составлена таблица соответствия 
> предупреждений PVS-Studio и идентификаторов CWE (http://cwe.mitre.org/) (Common Weakness 
> Enumeration), определяющих типовые ошибки, которые могут привести к появлению уязвимостей. 
> Для примера продемонстрировано (https://www.viva64.com/ru/b/0486/#ID0EBTBI) несколько 
> предупреждений в Apache httpd, которые потенциально представляют угрозу безопасности.

> Анализатор PVS-Studio всегда умел искать слабые места (потенциальные уязвимости) в коде 
> программ, но исторически сложилось, что PVS-Studio позиционировался как инструмент для 
> поиска ошибок, а не потенциальных уязвимостей. Станет та или иная ошибка 
> в коде причиной уязвимости зависит от множества различных факторов - дефект 
> иногда можно эксплуатировать, а иногда нет, как повезёт. Существенно то, что, 
> устраняя ошибки, описанные в CWE, программист заранее защищает код от множества 
> уязвимостей.

> Команда разработчиков PVS-Studio заинтересовалась устранением потенциальных уязвимостей 
> в различных проектах и решила  отражать отдельные мероприятия по поиску 
> уязвимостей  в виде небольших  еженедельных отчётов. В первом (https://www.viva64.com/ru/b/0484/) 
> таком отчёте разработчики PVS-Studio написали о дефектах в C# проектах (CoreFX, 
> MSBuild). Второй (https://www.viva64.com/ru/b/0487/) отчёт более интересен сообществу 
>  программистов на C и C++, и рассматривает потенциальные проблемы с 
> безопасностью в таких проектах как FreeBSD, GCC и Clang. Как результат, 
> разработчикам проверенных проектов направлены патчи или заведены сообщения о проблемах.

> Дополнительно можно отметить новую статью (https://www.viva64.com/ru/b/0488/) о том, 
> как и почему статические анализаторы борются с ложными срабатываниями.

> URL: https://www.viva64.com/ru/b/0486/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=46222

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру