Бестиарий программирования

Спрашивают, в каких процессах безопасной разработки, перечисленных в ГОСТ Р 56939—2024 (РБПО), может применяться PVS-Studio? Отвечаю: 7 — Моделирование угроз и разработка описания поверхности атаки. Косвенное использование. Анализатор PVS-Studio осуществляет поиск проблем на поверхности атаки, а не самой поверхности атаки (taint-анализ). Чтобы он хорошо это делал, необходима дополнительная разметка разметки истоков и стоков данных (см. ГОСТ Р 71207—2024, п. 6.3.а). Подробнее. 8 — Формирование и поддержание в актуальном состоянии правил кодирования. Многие регламенты кодирования построены на основе таких стандартов, как CWE, MISRA C/C++, OWASP ASVS, SEI CERT. PVS-Studio поддерживает перечисленные стандарты и может в автоматическом режиме ещё до этапа обзора кода обнаружить многие дефекты, перечисленные в них. 9 — Экспертиза исходного кода. Невозможна для больших объёмов кода без привлечения инструментов статического анализа. 10 — Статический анализ исходного кода. PVS-Studio совместим с ГОСТ Р 71207—2024 (Статический анализ кода) и полностью закрывает 10-й процесс для языков C, C++, C# и Java. Сейчас идёт разработка ядер анализатора для Go, JS и TS. 17 — Проверка кода на предмет внедрения вредоносного программного обеспечения через цепочки поставок. Это прерогатива композиционных анализаторов кода (SCA). Однако PVS-Studio также способствует безопасности, выявляя их в коде сторонних компонент потенциальные уязвимости (критические ошибки в терминологии ГОСТ Р 71207—2024). 24 — Поиск уязвимостей в программном обеспечении при эксплуатации. Эта мера подразумевает более глубокую проверку проекта в том числе статическими анализаторами кода, запущенными в более педантичном режиме.

Проверки реализуются другими инструментами анализа или теми же инструментами, но с другими настройками конфигурации с целью обеспечения анализа с меньшей долей пропусков ошибок за счёт применения специализированных алгоритмов, привлечения больших вычислительных и временных ресурсов.

Ревью вайб-кода с гнильцой, который притворяется оптимизированным С++ кодом Ценность квалифицированного программиста смещается в сторону умения проводить обзоры кода. Генерировать код становится проще, но всё так же важно проверять его с точки зрения качества декомпозиции, корректности реализации, эффективности, безопасности. Посмотрим на примере маленького проекта markus, созданного с помощью Claude Opus, почему важно понимать сгенерированный код и уметь видеть, что скрывает красивый текст программы.

Тизер информационного ресурса – разработка безопасного программного обеспечения (РБПО) по ГОСТ Р 56939‑2024. Тридцать вебинаров общей длительностью около 50 часов. Дополнительные материалы и ссылки. Доступ бесплатный.

Тизер информационного ресурса – разработка безопасного программного обеспечения (РБПО) по ГОСТ Р 56939‑2024. Тридцать вебинаров общей длительностью около 50 часов. Дополнительные материалы и ссылки. Доступ бесплатный.

Вышел новый релиз PVS-Studio — 7.42. В нём расширение поддержки MISRA C++ 2023, плагин для Qt Creator 19, официальная интеграция в CMake и другие полезные изменения.

Проблемы с цепочками В своих докладах о чистом коде я часто разбираю рефакторинг длинных цепочек вызовов. Основная мысль проста: такая конструкция не только замедляет чтение и понимание кода, но и бьёт по производительности. Однажды меня спросили: "А что, если эти методы изменяют внутреннее состояние объекта?" Действительно, если audinfo() (ну или подобный метод в других примерах) возвращает объект, чьи методы мутируют состояние, то вынесение его в переменную превратит пять независимых вызовов в пять обращений к одному экземпляру. А значит, поведение программы может измениться. Но ответ, на мой взгляд, кроется в самой постановке вопроса. Хороший код не должен порождать сомнения в духе "а что, если...". Если безопасный синтаксический рефакторинг меняет логику работы — это не недостаток рефакторинга, а яркий сигнал о проблемном дизайне. Если копнуть глубже, то использование методов с побочными эффектами в контексте извлечения параметров выглядит странным в принципе. Если в подобной ситуации на практике методы действительно меняют состояние, "лечить" нужно не цепочку вызовов, а архитектуру класса. 🎤 feelin

Разработка нового статического анализатора: PVS-Studio JavaScript Вот уже 18 лет статический анализатор кода PVS-Studio находится на рынке. За это время он обзавёлся поддержкой языков C, C++, C# и Java. Разумеется, останавливаться на этих языках мы не планируем, и в этой статье расскажем про разработку нового JavaScript/TypeScript анализатора, который выйдет уже совсем скоро.

Изменения в политике бесплатного лицензирования PVS-Studio Мы прекратили поддержку режима бесплатного лицензирования PVS-Studio, основанного на добавление специальных комментариев в код. Изначальная задумка была в том, что этим подходом будут пользоваться студенты и маленькие закрытые проекты. К сожалению, всё чаще этот режим начал использоваться искажённым образом. Автоматизировано вставляются комментарии, проводится анализ, после чего изменения, связанные с добавлением комментариев, не сохраняются. Это позволяло использовать анализатор в коммерческих задачах, формально не нарушая условия бесплатного лицензирования. Для открытых проектов у нас по-прежнему действует отдельный вид бесплатного лицензирования. Для студентов через некоторое время мы представим альтернативный вариант бесплатного использования инструмента.

Из нового. В разделе "Курсы по процессам разработки безопасного программного обеспечения" учебного центра "Маском" появился вот такой курс: ПВС СТАТ. Статический анализ программного обеспечения в соответствии с требованиями ГОСТ Р 71207–2024 с применением PVS-Studio. 30 ч/3 дня ❤️

Предлагаю вашему вниманию материалы, которые познакомят вашу команду с методологией безопасной разработки программного обеспечения и ГОСТ Р 56939—2024. ГОСТ56939.РФ ГОСТ Р 56939—2024 описывает 25 процессов, внедрение которых способствует зрелости цикла разработки и, как следствие, качеству, надёжности и безопасности разрабатываемых программных проектов. В записи вебинаров приняло участие более 30 экспертов из компаний, связанных с информационной безопасностью. Это позволило разносторонне рассмотреть различные темы и продемонстрировать большое количество инструментов, которые могут понадобиться при внедрении процессов РБПО. Кому будут полезны данные материалы: 1. Всем, кто хочет создавать надёжные и безопасные программные продукты. ГОСТ Р 56939—2024 можно рассматривать как описание 25 полезных практик, с помощью которых можно существенно увеличить зрелость процесса разработки ПО. 2. Специалистам, перед которыми стоит задача внедрения в компании процессов безопасной разработки с целью прохождения сертификации ФСТЭК (разработчики, руководители, специалисты ИБ и т. д.). 3. Специалистам, которые хотят лучше разобраться с требованиями, приводимыми в приказе ФСТЭК №117 и методическом документе ЦБ РФ "Профиль защиты". Оба эти документа ссылаются на ГОСТ Р 56939—2024. Все материалы предоставляются бесплатно и доступны после регистрации.

По техническим причинам вебинар "Зачем тестировщику нужна безопасность?" перенесён на 15 апреля. Время начала: 16:00.

Предстоящие вебинары 15 апреля 14:00. Тимлид: ожидания, реальность и внутренние вопросы. Регистрация.

Быть тимлидом — это не только про процессы и задачи, но и про людей, ожидания и собственные сомнения. Инна Пристягина (руководитель отдела развития, PVS-Studio) разберёт, кто такой менеджер в IT и зачем он вообще нужен: как выстраивать взаимодействие с командой, какие стили управления работают и как не наломать дров на старте. Ольга Ладошкина (коуч IT-руководителей и топ-команд, бизнес-тренер, основатель проекта «Лидерская кухня»; наставник в Яндекс Практикуме) поговорит о внутренней стороне лидерства: почему этот путь пугает, с какими ловушками сталкиваются новые лидеры и как не потерять себя. Разберёт реальные кейсы и простые инструменты, которые помогут справляться и с командой, и с собой. Вебинар подойдёт тем, кто уже тимлид или только собирается им стать и хочет понять: «Это моё?»

16 апреля 16:00. Зачем тестировщику нужна безопасность? Регистрация.

Безопасная разработка из опции превращается в обязательное требование: стандарты (российские и международные) все сильнее влияют на процессы разработки и тестирования. На вебинаре разберем, как тестировщику начать работать с безопасностью без узкой специализации в ИБ: какие базовые навыки нужны, как находить уязвимости на практике, что делать с найденными проблемами, как повысить свою ценность на рынке. На вебинаре вас ждут два практических доклада от экспертов: Безопасность для чаQAников (Семен Ремезов, Senior QA, АО "Гринатом") Вы уже тестируете по ГОСТу (Глеб Асламов, Developer Advocate, PVS-Studio)

17 апреля 14:00. PVS-Studio в SAST: от стандартов безопасности к DevSecOps. Регистрация.

В этот раз рассмотрим использование PVS-Studio в роли SAST-инструмента для автоматического поиска ошибок и потенциальных уязвимостей в исходном коде. Покажем, какие типы проблем способен выявлять статический анализатор и как он помогает повысить качество и надёжность программного обеспечения. Кратко разберём сценарии интеграции PVS-Studio в процесс разработки и CI/CD, а также практические преимущества его применения на ранних этапах жизненного цикла разработки.

Поучаствовал в подкасте от компании EvApps. IT ToLк by EvApps. Андрей Карпов про чистый код без вредных советов. Вариант на Яндекс Музыка: только звук.

Решил поделиться парой картинок для класса героя, которого можно получить во вчерашнем квизе. Уж очень они хороши. Я думал, что у меня будет мультикласс, а получил варвара :)

Главным направлением развития ИИ в 2026 году становится внедрение ИИ-агентов. Главным направлением развития ИИ в 2026 году становится окончательная порча Хабра такими текстами :(

Помимо дня смеха, сегодня ровно как 2 года введён в действие ГОСТ Р 71207—2024 "Статический анализ программного обеспечения". Если кто ещё не знаком: ГОСТ Р 71207–2024 глазами разработчика статических анализаторов кода.

Немного первоапрельского. Билды и баги: какой ты разработчик в мире RPG?

PVS-Studio — это B2B-решение, которым пользуются многие команды и компании по всему миру. В этой статье разберём основные особенности нашего анализатора, сценарии и варианты анализа, а также узнаем всё, что нужно знать для старта. 📲Мы в MAX #PVS_Studio #статья

Друзья, мы создали канал "PVS-Studio для бизнеса". Что вы там найдете: - как внедрение статического анализатора (SAST) сокращает технический долг и почему исправление ошибки на этапе написания кода в несколько раз дешевле, чем после релиза; - как защитить свой продукт от уязвимостей и соответствовать стандартам; - реальные истории компаний, которые внедрили PVS-Studio, и как это отразилось на качестве продукта. Приглашаем подписаться! А еще, на всякий случай, у нас появился канал в MAX.