Общаясь с людьми на конференциях и в комментариях к статьям, мы сталкиваемся со следующим возражением: статический анализ сокращает время на нахождение ошибок, но отнимает время у программистов, что нивелирует пользу от его использования и даже наоборот тормозит процесс разработки. Давайте разберём это возражение и покажем, что оно беспочвенно.
Читать полностью »
Рубрика «SAST» - 2
Работа с возражениями: статический анализ будет отнимать часть рабочего времени
2019-09-12 в 11:30, admin, рубрики: ci, devops, pvs-studio, SAST, Блог компании PVS-Studio, качество кода, ошибки в коде, Программирование, статический анализ кода, тестирование, Тестирование IT-систем, управление проектами, управление разработкойHandling Objections: Static Analysis Will Take up Part of Working Time
2019-09-12 в 11:23, admin, рубрики: ci, code quality, code quality tools, devops, DevTools, programming, pvs-studio, SAST, software development, static code analysis, Блог компании PVS-Studio, Программирование, Тестирование IT-систем, управление разработкой
Talking to people at conferences and in comments to articles, we face the following objection: static analysis reduces the time to detect errors, but takes up programmers' time, which negates the benefits of using it and even slows down the development process. Let's get this objection straightened out and try to show that it's groundless.
Читать полностью »
«И невозможное возможно»: превращаем черный ящик в белый с помощью бинарного анализа
2019-09-10 в 7:30, admin, рубрики: DAST, decompilation, deobfuscation, IAST, SAST, информационная безопасность, разработка мобильных приложений, реверс-инжиниринг
На данный момент существует два основных подхода к поиску уязвимостей в приложениях — статический и динамический анализ. У обоих подходов есть свои плюсы и минусы. Рынок приходит к тому, что использовать надо оба подхода — они решают немного разные задачи с разным результатом. Однако в некоторых случаях применение статического анализа ограничено — например, когда нет исходного кода. В этой статье мы расскажем про довольно редкую, но очень полезную технологию, которая позволяет совместить плюсы статического и динамического подходов — статический анализ исполняемого кода.
Читать полностью »
PVS-Studio в гостях у Apache Hive
2019-08-15 в 7:12, admin, рубрики: Apache Hive, big data, bugs, devops, DevSecOps, errors, Hadoop, Hive, java, open source, pvs-studio, pvsstudio, SAST, source code, static code analysis, static code analyzer, баги, базы данных, Блог компании PVS-Studio, информационная безопасность, открытые проекты, ошибки, статический анализ кода
Последние десять лет движение open source является одним из ключевых факторов развития IT-отрасли и важной ее составной частью. Роль и место open source не только усиливается в виде роста количественных показателей, но происходит и изменение его качественного позиционирования на IT-рынке в целом. Не сидя сложа руки, бравая команда PVS-Studio активно способствует закреплению позиций open source проектов, находя затаившиеся баги в огромных толщах кодовых баз и предлагая для таких проектов бесплатные лицензии. Эта статья не исключение! Сегодня речь пойдет об Apache Hive! Отчет получен — есть на что посмотреть!
Читать полностью »
Знакомство со статическим анализатором PVS-Studio при разработке C++ программ в среде Linux
2019-08-06 в 8:23, admin, рубрики: C, c++, cmake, code review, devops, eclipse, linux, linux development, linux devops, make, makefile, pvs-studio, PVS-Studio for Linux, qmake, SAST, sonarqube, static code analysis, static code analyzer, waf, Блог компании PVS-Studio, качество кода, обзор кода, Разработка под Linux, Си, статический анализ кода
PVS-Studio поддерживает анализ проектов на языках C, C++, C# и Java. Использовать анализатор можно под системами Windows, Linux и macOS. В этой заметке речь пойдет об анализе кода, написанного на C и C++ в среде Linux.
Установка
Установить PVS-Studio под Linux можно разными способами, в зависимости от типа дистрибутива. Наиболее удобный и предпочтительный способ – использование репозитория: так это позволяет автоматически обновлять анализатор при выходе новых версий. Второй вариант – использовать установочный пакет, который можно скачать здесь.
Читать полностью »
Статический анализ улучшит кодовую базу сложных C++ проектов
2019-08-03 в 18:35, admin, рубрики: c++, legacy code, SAST, Блог компании PVS-Studio, качество кода, Программирование, размер имеет значение, Совершенный код, старый код, статический анализ, статический анализ кода, статический анализатор кода
Постепенно и незаметно складывается ситуация, когда сложность серьёзных C++ проектов становится запредельной. К сожалению, теперь C++ программист не может полагаться только на свои силы.
Читать полностью »
What’s the Use of Dynamic Analysis When You Have Static Analysis?
2019-07-24 в 11:48, admin, рубрики: DAST, dynamic code analysis, pvs-studio, SAST, static code analysis, Блог компании PVS-Studio, информационная безопасность, ПрограммированиеIn order to verify the quality of software, you have to use a lot of different tools, including static and dynamic analyzers. In this article, we'll try to figure out why only one type of analysis, whether static or dynamic, may not be enough for comprehensive software analysis and why it's preferable to use both.
Как быстро посмотреть интересные предупреждения, которые выдает анализатор PVS-Studio для C и C++ кода?
2019-06-24 в 7:08, admin, рубрики: C, c++, codereview, pvs-studio, SAST, static code analysis, static code analyzer, Блог компании PVS-Studio, информационная безопасность, обзор кода, Си, статический анализ кода
Время от времени программисты, которые начинают знакомиться с анализатором кода PVS-Studio, спрашивают: «Есть ли список предупреждений, которые точно указывают на ошибки?» Такого списка нет по той причине, что неинтересные (ложные) предупреждения в одном проекте, в другом оказываются очень важными и полезными. Однако начать знакомство с анализатором с самых интересных предупреждений вполне можно. Давайте рассмотрим эту тему подробнее.
Читать полностью »
How to quickly check out interesting warnings given by the PVS-Studio analyzer for C and C++ code?
2019-06-24 в 7:01, admin, рубрики: C, c++, codereview, pvs-studio, SAST, static code analysis, static code analyzer, Блог компании PVS-Studio
Once in a while, programmers who start getting acquainted with the PVS-Studio code analyzer ask me: «Is there a list of warnings that accurately indicate errors?» There is no such list because uninteresting (false) warnings in one project are very important and useful in another one. However, one can definitely start digging into the analyzer from the most exciting warnings. Let's take a closer look at this topic.
Читать полностью »
Бесплатные варианты лицензирования PVS-Studio
2019-03-11 в 18:22, admin, рубрики: C#, c++, devops, DevSecOps, java, microsoft mvp, mvp, open source, opensourse, programming, pvs-studio, pvs-studio free, SAST, security, static code analysis, static code analyzer, Блог компании PVS-Studio, информационная безопасность, статический анализ кода
Существует несколько вариантов бесплатного лицензирования статического анализатора кода PVS-Studio, предназначенного для поиска ошибок и потенциальных уязвимостей. Бесплатной лицензией могут воспользоваться открытые проекты, маленькие закрытые проекты, публичные специалисты по безопасности и обладатели статуса Microsoft MVP. В статье кратко рассматривается каждый из этих вариантов.
PVS-Studio — это инструмент для выявления ошибок и потенциальных уязвимостей в исходном коде программ, написанных на языках С, C++, C# и Java. Работает в среде Windows, Linux и macOS.
Читать полностью »