| |
| 2.2, Аноним (-), 11:23, 09/05/2017 [^] [^^] [^^^] [ответить]
| +21 +/– |
Придумает еще более идиотское пользовательское соглашение.
| | |
| |
| 3.10, Andrey_Karpov (ok), 12:36, 09/05/2017 [^] [^^] [^^^] [ответить]
| –10 +/– |
 > Придумает еще более идиотское пользовательское соглашение.
Платишь деньги - пользуешься. Что с ним не так?
| | |
| |
| 4.31, Аноним (-), 17:15, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.
| | |
| |
| 5.34, Аноним (-), 17:17, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.
Если что, это был вопрос :)
| | |
| 5.37, Andrey_Karpov (ok), 17:42, 09/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Что и перья в зaдницy <зачеркнуто> комментарии в код вставлять необязательно.
Тем, кто приобрёл лицензию, естественно никакие комментарии вставлять не надо.
Комментарии в коде для тех, кто не желает или не может приобрести PVS-Studio, но хочет его использовать. Комментарии это своего благодарность/плата за использование анализатора. Точно такая-же плата взымается с тех, кто использует открытый код под какой-то лицензией. За использование открытого кода необходимо вставить иногда весьма длинный комментарий, рассказывающей о лицензии и прочих вещах. Естественно у всех есть выбор: кто не хочет видеть чужой комментарий в начале, может не использовать открытый код или PVS-Studio.
| | |
| |
| 6.40, kai3341 (ok), 18:04, 09/05/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Юный анонимус опеннета считает, что ему все должны и бесплатно до тех пор, пока сам не пойдёт зарабатывать деньги.
В запущенных случаях, уже на своих хлебах, высоковозрастный болван всё так же не в состоянии поставить себя на место других. Он может писать что угодно, но вес его слов как у макаки в зоопарке
| | |
| |
| 7.58, Аноним (-), 22:10, 09/05/2017 [^] [^^] [^^^] [ответить]
| +7 +/– |
По моему опыту о бабле в IT больше всего любят с умным видом поговорить вчерашние школьники с хеловорлдом наперевес, копеечные эникейщики, бродячие одинесники и тому подобные человечьи очистки.
| | |
|
| 6.41, Admino (ok), 18:22, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > За использование открытого кода необходимо вставить иногда весьма длинный комментарий, рассказывающей о лицензии и прочих вещах.
Кхе-кхе. И где этот комментарий в дистрибутиве PVS-Studio?
| | |
| |
| 7.44, Andrey_Karpov (ok), 18:31, 09/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> За использование открытого кода необходимо вставить иногда весьма длинный комментарий, рассказывающей о лицензии и прочих вещах.
> Кхе-кхе. И где этот комментарий в дистрибутиве PVS-Studio?
Что? Я совершенно не понял вопрос. При чём вообще тут дистрибутив?
| | |
|
|
|
|
|
| 2.5, oopsy (?), 12:10, 09/05/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
Коллега,
Андрей Карпов уже ответил на сравнение статического анализа текста (в лице PVS Studio) и динамического обнаружения ошибок (в лице Valgrind). См., например, https://www.viva64.com/ru/b/0248/ и https://www.viva64.com/ru/b/0278/ .
авторы PVS Studio осознают, что им не удастся создать единственно-необходимое средство анализа и валидации кода. Но приводят разумные рассуждения почему их продукт находит свою нишу.
| | |
| |
| |
| 4.16, Аноним (-), 14:01, 09/05/2017 [^] [^^] [^^^] [ответить]
| +11 +/– |
Блин, как же вы достали. Пользуетесь любым поводом, чтобы просунуть рекламу себя любимых.
| | |
| |
| 5.17, Andrey_Karpov (ok), 14:06, 09/05/2017 [^] [^^] [^^^] [ответить]
| –8 +/– |
> Блин, как же вы достали. Пользуетесь любым поводом, чтобы просунуть рекламу себя
> любимых.
А почему Вы не возмущаетесь пиаром, который осуществляет Google, рассказывая о своих достижениях на ниве СПО?
Можно ответить, что они приносят пользу СПО. Так и мы приносим. В чём отличие?
| | |
| |
| 6.20, A.Stahl (ok), 14:41, 09/05/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Вот когда в ваши статьи будут лезть гугл-боты и оффтопить рекламой про гуглопроекты, то тогда, возможно, будем возмущаться.
| | |
| 6.23, Аноним (-), 16:09, 09/05/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
наверно по тому что количество полезного от вас и от google совсем разное.
Кроме того ваш проект не распространяется как opensource - не даже как бесплатное при условии открытости кода проекта.
| | |
| |
| 7.26, Andrey_Karpov (ok), 16:28, 09/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Кроме того ваш проект не распространяется как opensource
Анализатор PVS-Studio является программным продуктом, на продаже которого мы зарабатываем деньги. Точно также закрыты Coverity, Klocwork, SonarC++ и т.д. Такие проекты как Clang или OSS-Fuzz, являются проектами, которые удобно делать открытыми и которые затратны для компаний, которые в них вкладываются. Сидят люди на хорошей зарплате, едят печеньки и пишут открытые проекты (и не надо бла-бла про сообщество и что от каждого по способностям... :). А зарабатывают эти компании в других сферах. В общем не путайте модели существования. Если нам кто-то вдруг будет сторонний платить, мы тоже можем open-source делать.
> не даже как бесплатное при условии открытости кода проекта.
Мы ещё более лояльные. Можно использовать PVS-Studio даже В ЗАКРЫТЫХ проектах: https://www.viva64.com/ru/b/0457/
| | |
|
|
|
|
| 3.11, Сергей (??), 12:37, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Но приводят разумные рассуждения почему их продукт находит свою нишу
Разумные размышления от коммерсантов? Да не смешите моего кота!
Все их размышления струятся только на предмет более прибыльного разведения лохов ушастых обретающихся в неосвоенных нишах и готовых вестись на их маркетинговые обдурилки.
| | |
| |
| 4.13, Andrey_Karpov (ok), 12:45, 09/05/2017 [^] [^^] [^^^] [ответить]
| –11 +/– |
> Все их размышления струятся только на предмет более прибыльного разведения лохов ушастых
> обретающихся в неосвоенных нишах и готовых вестись на их маркетинговые обдурилки.
Список тех, кого Вы называете "лохами ушастыми": https://www.viva64.com/ru/customers/
Вы неправы. Это компании, которые заботятся о качестве своего кода, репутации и умеют считать деньги.
| | |
| |
| 5.25, Сергей (??), 16:25, 09/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Это компании, которые заботятся о качестве своего кода, репутации и умеют считать деньги
Да ну! Ух ты, там лаборанты, микрософт и прочие ИТ паразиты известные своим гнилым нутром и гадкими делами, о какой репутации вы ведёте речь? СПО для всех этих компаний враг, лишающий их части прибылей и делающий адекватных пользователей из обдираемых вами лопоухиков. Так что, ну вы поняли...
| | |
| |
| 6.27, Andrey_Karpov (ok), 16:39, 09/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Да ну! Ух ты, там лаборанты, микрософт и прочие ИТ паразиты известные
> своим гнилым нутром и гадкими делами, о какой репутации вы ведёте
> речь?
Не понимаю, при чём здесь СПО... Вот есть скажем у нас в клиентах компания, занимающаяся в сфере стоматологии. Ей важно находить ошибки в программах, чтобы с меньшей вероятностью вам зуб повредить. Вы хотите надежности такого ПО? Думаю, хотите.
> СПО для всех этих компаний враг, лишающий их части прибылей
Как СПО для них враг? Каких прибылей оно их лишает? Хотя, конкуренты могут что-то утащиться к себе. Ну что-же тогда правильно, что ПО закрытое.
> Так что, ну вы поняли...
Нет не понял.
| | |
| |
| 7.54, Аноним (-), 19:32, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>Ну что-же тогда правильно, что ПО закрытое.
Теряется конкуренция, что в этом хорошего?
| | |
| 7.55, Аноним (-), 20:57, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
> чтобы с меньшей вероятностью вам зуб повредить.
> Вы хотите надежности такого ПО? Думаю, хотите.
Не надо смешивать солидол с яблочным джемом!
> Хотя, конкуренты могут что-то утащиться к себе.
> Ну что-же тогда правильно, что ПО закрытое.
Или чтобы ни кто не видел что и у кого вы стащили, как криво сделали, каких недокументированных фишек натолкали и прочее, и прочее, и прочее?
| | |
|
|
|
|
| 3.28, Аноним (-), 16:51, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> авторы [censored] осознают, что им не удастся создать единственно-необходимое средство анализа и валидации кода. Но приводят разумные рассуждения почему их продукт находит свою нишу.
Давно ли их продукт стал синонимом статического анализа? Других анализаторов нет?
P.S. Андрей, не надо, пожалуйста, оставлять под этим сообщением свои сверхценные замечания. Вопрос задан не Вам.
| | |
|
| 2.12, Andrey_Karpov (ok), 12:42, 09/05/2017 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> Что на это ответит пивас-студия?
Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах ( https://www.viva64.com/en/examples/ ). Если бы кто-то спонсировал это направление, мы могли бы оказать намного больше пользы открытым проектам. А пока есть, что есть.
P.S. Тот-ж Google знает про нас, но конструктивного общения не складывается. Думаю, немного финансирования нам бы не повредило, чтобы плотнее заняться открытыми проектами. Но надо понимать, что они не ангелы, а просто занимаются пиаром (как и мы :). И им лучше "найти самим и получить одобрение", чем проспонсировать, скажем PVS-Studio. :)
| | |
| |
| 3.15, Аноним (-), 13:05, 09/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
Продайтесь гуглу. Все будут счастливы. Стандартный менталитет (зомбирование): гугель -- анжель, все остальные -- нахлебники.
| | |
| 3.22, Анонс (?), 15:39, 09/05/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
Потому что даже Гуглу вы не нужны. Что говорит о качестве вашего "изобретения". Вот когда вы будете помогать открытым проектам сами разрабатывая открытое решение - тогда и будете нужны. А пока вы просто жалкие паразиты, всюду сующие свой пивас.
| | |
| 3.29, Аноним (-), 16:53, 09/05/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
Размечтались, ага. Купит вас гугл, готовьте чемоданы для баксов. Ему выгоднее вкладываться в clang, чем в ваш чёрный ящик.
| | |
| 3.35, Аноним (-), 17:19, 09/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах
<зевая> Число наверняка указано без вычета ложных срабатываний.
| | |
| |
| 4.38, Andrey_Karpov (ok), 17:47, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Мы на голом энтузиазме нашли уже более 11000 ошибок в открытых проектах
> <зевая> Число наверняка указано без вычета ложных срабатываний.
11000 это не количество предупреждений. Это именно 11037 ошибок, которые выписаны в базу ошибок: это именно фрагменты кода с багом. Любой желающий может познакомиться с этими ошибками: https://www.viva64.com/ru/examples/
Возможно, среди них и затесался десяток ложных срабатываний, так как сложно изучать чужой код. Но общую картину это не меняет. Ну хорошо, пусть будет не 11037, а 10900.
| | |
|
| 3.74, Аноним (74), 22:09, 08/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Что-то я до сих пор не вижу от вас бота, который бы сканировал репозитории по заявкам их владельцев.
| | |
|
| 2.14, eSyr (ok), 12:59, 09/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А какое отношение фаззинг имеет к статическому анализу?
| | |
| |
| 3.18, Аноним (-), 14:25, 09/05/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
Никакого. Но вот если бы это был статический анализ, мы могли бы вам попробовать впарить блюющего единорога...
| | |
|
| 2.32, Аноним (-), 17:15, 09/05/2017 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Что на это ответит пивас-студия?
Ну вот кто тебя за язык тянул, а?
| | |
|
| 1.7, Аноним (-), 12:31, 09/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Отличный проект. Я примерно так себе и представляю будущее свободного ПО. Тестирование, безопасность и юзабилити за денежку. Потому что пока о тестировании свободного и открытого ПО можно только мечтать. Сначала вот тестирование безопасности, затем, надеюсь, и до юзабилити дойдут. Главное, что бы оставалось в идеологических рамках. Биржи надо открыть, что бы пользователи донатили целенаправленно, только что бы прозрачность была.
| | |
| |
| 2.47, Аноним (-), 18:44, 09/05/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Дошло уже до юзабилити, дошло, набежали г.вноеды.
Уже и кнопки Ок и Отмена местами поменяли, настройки выпиливают, иконки в виде бледных поганок везде. Лепотааа...
| | |
|
| 1.21, nur (ok), 15:25, 09/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей в коде "возможно приводящих к потенциальным уязвимостям"?
это там какой то особо прокачаный libastral, или же есть какие то конкретные правила написания кода ?
| | |
| |
| 2.24, Andrey_Karpov (ok), 16:16, 09/05/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей
> в коде "возможно приводящих к потенциальным уязвимостям"?
> это там какой то особо прокачаный libastral, или же есть какие то
> конкретные правила написания кода ?
Я понимаю это так. Инструмент находит ошибки. Для начала не важно какие. Важно потом классифицировать их. Считается, что некоторые ошибки могут эксплуатироваться. Так, Амит Йоран (начальник отдела национальной кибербезопасности США) считает, что около 95% всех дефектов программ, относящихся к безопасности, проистекает из 19 типичных ошибок (переполнение буфера, переполнение целых чисел, пренебрежение обработкой ошибок и т.д.).
В общем, ошибки, которые как считается, могут привести к уязвимостям, классифицированы в CWE: https://cwe.mitre.org/
Если вы находите ошибку, которая классифицируется согласно CWE, то значит вы нашли потенциальную уязвимость. Может эта ошибка стать настоящей уязвимостью (CVE - https://cve.mitre.org/) зависит от многих обстоятельств (везения).
Анализатор PVS-Studio кстати тоже находит многие ошибки, перечисленные в CWE: https://www.viva64.com/ru/b/0486/ Т.е. PVS-Studio позволяет выявлять и устранить многие потенциальные уязвимости и не стоит недооценивать эту возможность.
| | |
| 2.30, Аноним (-), 17:00, 09/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> объясните недалекому - как вообще устроен процесс обнаружения возможных (!!!) уязвимостей
> в коде "возможно приводящих к потенциальным уязвимостям"?
> это там какой то особо прокачаный libastral, или же есть какие то
> конкретные правила написания кода ?
Очень просто. Находят ошибки разных типов. Определённые типы ошибок (например переполнения буфера) часто (но не всегда) приводят к уязвимостям. Тратить время на анализ, насколько опасна выявленная ошибка, как правило смысла нет, потому что её в любом случае надо исправлять. Вот и говорят, что нашли "возможную уязвимость".
| | |
|
| 1.56, mumu (ok), 21:32, 09/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 overflows, overflows, overflows... Какие отмазы только инвалиды не придумывают, только бы rust не использовать.
| | |
| |
| 2.59, Аноним (-), 23:20, 09/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
freetype -1996 год
ffmpeg - 2000 год
libreoffice (тогда ещё staroffice) - 1985 год
sqlite - 2000 год
gnutls - 2003 год
pcre - 1997 год
wireshark -1998 год
Вдруг в 2015 хипстеры выпускают новый ЯП, и все всё срочно должны переделывать на нём?
| | |
| 2.60, Аноним (-), 23:22, 09/05/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Какие отмазы только инвалиды не придумывают, только
> бы rust не использовать.
И да, использование частиц не/ни подучи.
| | |
| |
| |
| 4.64, VladSh (?), 13:47, 10/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Разговорный язык бывает разный, как грамотный, так и безграмотный.
| | |
| 4.72, KBAKEP (ok), 18:22, 12/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
 На форуме письменная речь, с помощью специальных графических знаков (знаков письменности).
| | |
|
| 3.65, Аноним (-), 14:10, 10/05/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Какие отмазы только инвалиды не придумывают, только
>> бы rust не использовать.
> И да, использование частиц не/ни подучи.
И куда уважаемый Грамотей тут собрался частицу НИ вставлять?
| | |
| |
| |
| 5.68, Аноним (-), 17:07, 10/05/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Сможешь угадать с трёх раз?
Ты не умничай, ты паль^W вставь и покажи. А мы посмеемся.
| | |
|
|
|
|
| 1.69, Ivan (??), 20:50, 10/05/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Сколько комментариев и ни одного нормального. Кому-то не дает покоя один навязчиво маркетируемый статический анализатор. Кому-то все программы надо переписать на раст. Почему нет нормальных комментариев?
Ладно я попробую исправить ситуацию.
Я в свое время игрался с фаззером и искал ошибки с gcc и clang. Самая большая проблема с использованием фаззера это не найти ошибки, а заставить разработчиков их починить. Дело в том, что во время фаззинга разные ошибки проявляются с сильно разной частотой. Например вторая по частоте ошибка проявляется в 10 раз реже чем первая, третья в 10 раз реже второй и т.п. Поэтому надо либо нашел ошибку -- починил, либо иметь какой-то механизм автоматического определения дубликатов ошибок, поскольку просматривая руками много разных ошибок не отловишь -- там всё одна и та же ошибка срабатывает.
KUDOS гуглу если они смогли поставить эту штуку на поток. Я считаю, что это сделает наши программы гораздо более безопасными и корректными. Во-первых круто, что они предоставляют вычислительные мощьности для фаззинга. Во-вторых круто, что за счет этого более широкая аудитория знакомится с фаззингом и санитайзерами.
| | |
| |
| 2.71, Аноним (-), 12:41, 11/05/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> надо либо нашел ошибку -- починил, либо иметь какой-то механизм автоматического определения дубликатов ошибок, поскольку просматривая руками много разных ошибок не отловишь -- там всё одна и та же ошибка срабатывает.
Хороший фаззер отслеживает пути выполнения и умеет отличать разные ошибки от дубликатов одной и той же. К таковым относится и используемый гуглом libFuzzer (а также, например, american fuzzy lop).
| | |
|
|
