Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Новый формат™ знакомства с PVS-Studio™

Блог компании PVS-Studio™ Управление проектами *Презентации Видеоконференцсвязь

Можно ли создать успешный продукт, не говоря™ ни слова? Боюсь, что нет. Ведь успешный продукт – это в первую™ очередь известный продукт. Какой бы замечательный инструмент вы бы ни создали в своём гараже™, пока люди о нём не слышали, никто его не захочет купить™. С этим сталкиваются абсолютно все компании, которые когда-либо существовали, существуют или будут существовать. Мы не исключение. Встречайте наш новый формат™ знакомства с продуктом — видеовстреча

Читать™ далее
Всего голосов 10: ↑7 и ↓3 +4
Просмотры 1.4K
Комментарии 2

Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11

Блог компании Positive Technologies Информационная безопасность *

Краткое содержание


  1. Несовместимость DAST / SAST.
  2. IAST: Buzzword и реальность.
  3. Третий™ путь.

Как мы отмечали ранее, у систем™ поиска™ уязвимостей SAST и DAST есть как преимущества, так и недостатки, поэтому проблема поиска™ оптимального подхода к автоматизации анализа безопасности приложений не теряет™ своей актуальности. За последние несколько лет было выработано как минимум три подхода к решению этой задачи™.
Читать™ дальше™ →
Всего голосов 26: ↑20 и ↓6 +14
Просмотры 8.2K
Комментарии 15

Поиск уязвимостей в байткоде Java: что делать™ с результатами?

Блог компании Ростелеком-Солар Информационная безопасность *Java *

Solar inCode™ умеет обнаруживать уязвимости в байткоде Java. Но показать инструкцию байткода, которая содержит уязвимость, мало. Как показать уязвимость в исходном коде, которого нет?
Читать™ дальше™ →
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 6.7K
Комментарии 7

QIWI Security Development Lifecycle

Блог компании QIWI Информационная безопасность *Тестирование IT-систем™ *
Из песочницы

В определенный момент™ в жизни почти каждой™ финтех™-компании настает время, когда количество приложений внутренней разработки начинает превышать число разработчиков, бизнес™ хочет больше™ новых фич, а на Bug Bounty™ продолжают сдавать все новые и новые уязвимости…


Но при этом есть потребность быстро™ выпускать качественное и безопасное ПО, а не тушить™ пожары™ от выявленных ошибок™ безопасности откатами версий™ и ночными хотфиксами.


Когда команда ИБ состоит из пары человек, кажется, что так будет всегда™, но мы решили™ выжать™ из ситуации максимум позитива и раз и навсегда "засекьюрить" свои приложения.


С чего начать™? Наш план был прост:


  1. Упорядочить процессы постановки, исполнения и выпуска задач, не став палкой™ в колесах разработки.
  2. Прикрутить модные™ сканеры безопасности.
  3. Отревьюить пару десятков приложений.
  4. Откинуться в кресле™, наблюдая за тем, как это все само работает.

image
Читать™ дальше™ →
Всего голосов 18: ↑18 и ↓0 +18
Просмотры 9.4K
Комментарии 7

Пишем настоящий Pointer Analysis для LLVM. Часть 1: Введение или первое™ свидание с миром анализа программ

Блог компании Ростелеком-Солар Информационная безопасность *Компиляторы *
Привет™, Хабр!

Эта статья™ станет™ вступительной в моем небольшом цикле заметок, посвященном такой технике анализа программ, как pointer analysis. Алгоритмы pointer analysis позволяют с заданной точностью определить на какие участки памяти™ переменная или некоторое выражение может указывать. Без знания™ информации об указателях анализ™ программ, активно использующих указатели (то есть программ на любом современном языке программирования — C, C++, C#, Java, Python™ и других™), практически невозможен. Поэтому в любом мало-мальски оптимизируещем компиляторе или серьезном статическом анализаторе кода применяются техники pointer analysis для достижения точных™ результатов.

В данном™ цикле статей™ мы сосредоточимся на написании эффективного межпроцедурного алгоритма pointer analysis, рассмотрим основные современные подходы к задаче™, ну и, конечно же, напишем свой очень серьезный алгоритм pointer analysis для замечательного языка внутреннего представления программ LLVM. Всех интересующихся прошу под кат, будем анализировать программы и многое™ другое™!
Читать™ дальше™ →
Всего голосов 39: ↑38 и ↓1 +37
Просмотры 6.8K
Комментарии 16

Почему™ анализ™ защищенности JavaScript нельзя™ по настоящему автоматизировать?

Блог компании Positive Technologies Информационная безопасность *JavaScript *
Почему™ в случае™ JavaScript приходится обходиться простыми подходами статического анализа, когда есть более интересные подходы к автоматическому анализу кода?

В ответ на этот вопрос™, мой коллега Алексей Гончаров kukumumu ответил лаконично: «JavaScript это панковский язык» и кинул ссылку™ на статью™ Jasper™ Cashmore «A Javascript journey with only six characters», которая действительно погружает нас в путешествие в эзотерический мир JSFuck™ и сразу все ставит™ на свои места.
Мне настолько понравилось, что я решил перевести статью™ на русский язык.
Читать™ дальше™ →
Всего голосов 30: ↑19 и ↓11 +8
Просмотры 6.8K
Комментарии 20

PVS-Studio™ как SAST решение

Блог компании PVS-Studio™ Информационная безопасность *Программирование *Управление разработкой *DevOps™ *
PVS-Studio и SAST

До недавнего времени в своих статьях мы позиционировали PVS-Studio™ как инструмент для выявления ошибок™ в коде. При этом мы почти не рассматривали PVS-Studio™ в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения™ тестирования защищённости приложений и DevSecOps практик.
Читать™ дальше™ →
Всего голосов 30: ↑27 и ↓3 +24
Просмотры 2.4K
Комментарии 8

Проверили с помощью PVS-Studio™ исходные коды Android, или никто не идеален

Блог компании PVS-Studio™ Информационная безопасность *Open source™ *C++ *Разработка под Android *

Android и Единорог PVS-Studio

Разработка больших сложных проектов невозможна без использования методологий программирования и инструментальных средств, помогающих контролировать качество кода. В первую™ очередь, это грамотный стандарт кодирования, обзоры™ кода, юнит-тесты, статические и динамические анализаторы кода. Всё это помогает выявлять дефекты в коде на самых ранних™ этапах™ разработки. В этой статье™ демонстрируются возможности статического анализатора PVS-Studio™ по выявлению ошибок™ и потенциальных уязвимостей в коде операционной системы Android. Надеемся, что статья™ привлечёт внимание читателей к методологии статического анализа кода и они захотят внедрить её в процесс разработки собственных проектов.
Читать™ дальше™ →
Всего голосов 92: ↑87 и ↓5 +82
Просмотры 32K
Комментарии 88

Команда PVS-Studio™ непредвзята при написании статей™

Блог компании PVS-Studio™
Наша команда проверяет различные открытые проекты с помощью PVS-Studio™ и пишет о результатах анализа кода. Время от времени мы сталкиваемся со странными обвинениями в предвзятости. Думаем™, что часто это «тролли™», и вступать в дискуссии с ними не имеет смысла™. С другой™ стороны, оставлять подобные комментарии совсем™ без ответа™ тоже не хочется. Поэтому я решил написать небольшую статью™, чтобы иметь возможность отвечать одной ссылкой.

Единорог в шоке от обсуждений

Читать™ дальше™ →
Всего голосов 71: ↑62 и ↓9 +53
Просмотры 11K
Комментарии 50

В очередной раз анализатор PVS-Studio™ оказался внимательнее человека

Блог компании PVS-Studio™ C++ *Qt *
Возьми баг

Изучая™ предупреждения анализатора PVS-Studio™ в процессе проверки различных открытых проектов, мы вновь и вновь убеждаемся, сколь полезен может быть этот инструмент. Анализатор кода невероятно внимателен и никогда не устаёт™. Он указывает на ошибки™, которые ускользают даже при внимательном обзоре™ кода. Рассмотрим очередной такой случай™.
Читать™ дальше™ →
Всего голосов 85: ↑81 и ↓4 +77
Просмотры 24K
Комментарии 65

Как правильно использовать статический анализ™

Блог компании Ростелеком-Солар Информационная безопасность *
Сейчас™ все больше™ говорят о статическом анализе для поиска™ уязвимостей как необходимом этапе разработки. Однако™ многие™ говорят и о проблемах статического анализа. Об этом много говорили на прошлом Positive Hack Days, и по итогам™ этих дискуссий мы уже писали™ о том, как устроен статический анализатор. Если вы пробовали какой-нибудь™ серьезный инструмент, вас могли отпугнуть длинные отчеты™ с запутанными рекомендациями, сложности настройки инструмента и ложные™ срабатывания. Так все-таки нужен ли статический анализ™?

Наш опыт подсказывает, что нужен. И многие™ проблемы, которые возникают при первом™ взгляде на инструмент, вполне™ можно решить™. Попробую рассказать, что может делать™ пользователь и каким должен™ быть анализатор, чтобы его использование было полезным, а не вносило «еще один ненужный инструмент, который требуют безопасники».

Читать™ дальше™ →
Всего голосов 35: ↑32 и ↓3 +29
Просмотры 9.3K
Комментарии 17

Релиз PVS-Studio™ 6.26

Блог компании PVS-Studio™
PVS-Studio 6.26

Обычно™ мы не пишем заметки про выход новой версии™ анализатора PVS-Studio™. Однако™ в новый релиз вошло много интересных изменений, касающихся анализа C и C++ кода, о которых хочется рассказать нашим пользователям.
Читать™ дальше™ →
Всего голосов 52: ↑49 и ↓3 +46
Просмотры 6.6K
Комментарии 23

PVS-Studio™ 7.00

Блог компании PVS-Studio™ Информационная безопасность *Java *C++ *DevOps™ *
PVS-Studio C#\Java\C++Сегодня важный™ день – после 28 релизов шестой™ версии™ мы выпускаем PVS-Studio™ 7.00, где ключевым новшеством является поддержка языка Java. Однако™ за 2018 год накопилось много других™ важных™ изменений, касающихся С++, С#, инфраструктуры и поддержки стандартов кодирования. Поэтому предлагаем вашему™ вниманию заметку, которая обобщает основные изменения, произошедшие в PVS-Studio™ за последнее время.
Читать™ дальше™ →
Всего голосов 76: ↑72 и ↓4 +68
Просмотры 14K
Комментарии 58

PVS-Studio™ 7.00

Блог компании PVS-Studio™ Java *C++ *DevOps™ *
PVS-Studio C#\Java\C++Today is an important day — after 28 releases of the sixth version we present our PVS-Studio™ 7.00, in which the key innovation is the support of the Java language. However, during™ 2018 we have acquired many other important changes related to C++, C#, infrastructure and support of coding™ standards. Therefore, we bring to your attention a note that sums up the major changes that have happened in PVS-Studio™ for the last time.
Читать™ дальше™ →
Всего голосов 52: ↑51 и ↓1 +50
Просмотры 3.7K
Комментарии 4

PVS-Studio™ for Java

Блог компании PVS-Studio™ Open source™ *Java *DevOps™ *
PVS-Studio for Java

In the seventh version of the PVS-Studio™ static™ analyzer, we added support of the Java language. It's time for a brief story of how we've started making™ support of the Java language, how far we've come, and what is in our further plans. Of course™, this article will list first analyzer trials™ on open source™ projects.
Читать™ дальше™ →
Всего голосов 31: ↑31 и ↓0 +31
Просмотры 2.3K
Комментарии 3

PVS-Studio™ ROI

Блог компании PVS-Studio™ Управление разработкой *Управление продуктом *

PVS-Studio ROI

Occasionally, we're asked a question, what monetary value the company will receive from using PVS-Studio™. We decided to draw up a response in the form of an article and provide tables™, which will show how the analyzer can be useful™. We cannot™ prove absolute accuracy of all calculations in the article, but we suppose the reader™ will agree with our thoughts, and it will help to make a decision in the matter™ of getting the license.
Read more →
Всего голосов 33: ↑32 и ↓1 +31
Просмотры 900
Комментарии 0

PVS-Studio™ ROI

Блог компании PVS-Studio™ Управление разработкой *Управление продуктом *

PVS-Studio ROI

Время от времени нам задают™ вопрос™, какую пользу™ в денежном эквиваленте получит компания от использования анализатора PVS-Studio™. Мы решили™ оформить ответ в виде статьи™ и привести таблицы, которые покажут, насколько анализатор может быть полезен. Мы не можем в статье™ доказать абсолютную достоверность всех расчётов, но думаем™, читатель согласится с нашими™ размышлениями, и это поможет принять решение в вопросе приобретения лицензии.
Читать™ дальше™ →
Всего голосов 41: ↑38 и ↓3 +35
Просмотры 3.6K
Комментарии 30

О статическом анализе начистоту

Блог компании Ростелеком-Солар Информационная безопасность *Тестирование IT-систем™ *Совершенный код *Тестирование мобильных приложений *
Последнее время все чаще говорят о статическом анализе как одном из важных™ средств обеспечения качества разрабатываемых программных продуктов, особенно с точки зрения™ безопасности. Статический анализ™ позволяет находить уязвимости и другие™ ошибки™, его можно использовать в процессе разработки, интегрируя в настроенные процессы. Однако™ в связи с его применением возникает много вопросов. Чем отличаются платные и бесплатные инструменты? Почему™ недостаточно использовать линтер™? В конце концов™, при чем тут статистика? Попробуем разобраться.


Читать™ дальше™ →
Всего голосов 40: ↑36 и ↓4 +32
Просмотры 11K
Комментарии 2

False Positives in PVS-Studio™: How Deep the Rabbit™ Hole Goes

Блог компании PVS-Studio™ C++ *C *Разработка под Windows *
Единорог PVS-Studio и GetNamedSecurityInfo

Our team provides quick and effective customer support. User requests are handled solely™ by programmers since our clients are programmers themselves and they often ask tricky™ questions. Today I'm going to tell you about a recent™ request concerning one false positive that even forced™ me to carry out a small investigation to solve the problem.
Read more →
Всего голосов 21: ↑20 и ↓1 +19
Просмотры 645
Комментарии 0

Ложные™ срабатывания в PVS-Studio™: как глубока кроличья нора

Блог компании PVS-Studio™ C++ *C *Разработка под Windows *

Единорог PVS-Studio и GetNamedSecurityInfo

Наша команда оказывает быструю и эффективную поддержку клиентов. В поддержке принимают участие только™ программисты, так как вопросы нам тоже задают™ программисты и над многими из них приходится подумать. Хочется описать одно из недавних обращений в поддержку на тему ложного срабатывания, которое привело к целому™ небольшому исследованию описанной в письме™ проблемы.
Читать™ дальше™ →
Всего голосов 37: ↑35 и ↓2 +33
Просмотры 4.5K
Комментарии 23