Новости и события » Hi-Tech » Использование PVS-Studio для поиска дефектов безопасности (реклама)

Использование PVS-Studio для поиска дефектов безопасности (реклама)

Разработчики PVS-Studio, коммерческого статического анализатора кода на языках C, C++ и C, выступили с инициативой выявления в открытых проектах ошибок, которые могут привести к возникновению уязвимостей. Для упрощения анализа подобных ошибок составлена таблица соответствия предупреждений PVS-Studio и идентификаторов CWE (Common Weakness Enumeration), определяющих типовые ошибки, которые могут привести к появлению уязвимостей. Для примера продемонстрировано несколько предупреждений в Apache httpd, которые потенциально представляют угрозу безопасности.

Анализатор PVS-Studio всегда умел искать слабые места (потенциальные уязвимости) в коде программ, но исторически сложилось, что PVS-Studio позиционировался как инструмент для поиска ошибок, а не потенциальных уязвимостей. Станет та или иная ошибка в коде причиной уязвимости зависит от множества различных факторов - дефект иногда можно эксплуатировать, а иногда нет, как повезет. Существенно то, что, устраняя ошибки, описанные в CWE, программист заранее защищает код от множества уязвимостей.

Команда разработчиков PVS-Studio заинтересовалась устранением потенциальных уязвимостей в различных проектах и решила отражать отдельные мероприятия по поиску уязвимостей в виде небольших еженедельных отчетов. В первом таком отчете разработчики PVS-Studio написали о дефектах в C проектах (CoreFX, MSBuild). Второй отчет более интересен сообществу программистов на C и C++, и рассматривает потенциальные проблемы с безопасностью в таких проектах как FreeBSD, GCC и Clang. Как результат, разработчикам проверенных проектов направлены патчи или заведены сообщения о проблемах.

Дополнительно можно отметить новую статью о том, как и почему статические анализаторы борются с ложными срабатываниями.


Кто возглавил пограничников: 7 фактов о службе и достатках...

Кто возглавил пограничников: 7 фактов о службе и достатках Цигикала

Журналисты выяснили кого назначили на должность главы Госпогранслужбы Украины и вкладываются ли расходы Петра Цигикала в его официальные доходы. Напомним, Петр Цигикал был назначен на должность председателя ГНСУ 25 июля вместо Виктора Назаренко, подробнее ...

загрузка...

 

Вверх