LINUX.ORG.RU

Митапы: Статический анализ программного обеспечения по ГОСТ Р 71207–2024

 , , , ,


0

4

1 апреля 2024 года введён стандарт, устанавливающий общие требования к внедрению и выполнению статического анализа ПО. Стандарт разработан ФСТЭК России и ИСП РАН и входит в комплекс документов, направленных на предотвращение уязвимостей в программах. Возможно, кто-то знает про ГОСТ Р 56939 (Разработка безопасного ПО), где, в частности, говорится про необходимость использования динамических и статических анализаторов кода. Так вот, новый ГОСТ Р 71207–2024 теперь формализует, что, собственно, такое статический анализ кода.

Команда PVS-Studio не могла оставить без внимания этот документ. Мы его изучили, так как разумно привести какие-то элементы анализатора в соответствие с ним. Например, поставлена задача выделить группу диагностик, выявляющих ошибки, которые по ГОСТу считаются критическими. Выяснилось, что наши аннотации не позволяют задавать процедуры-источники/стоки чувствительных данных (это анализ помеченных данных). В ближайшем релизе добавим.

Поскольку мы погрузились в эту тему, то решили про неё, как говорится, научно-популярно порассказывать. Во-первых, не каждый готов читать ГОСТ. Во-вторых, там достаточно высокая сложность и плотность повествования. Некоторые моменты без знания предметной области, с большой вероятностью, могут остаться недопонятыми. А мы будем неспешно рассказывать с примерами и пояснениями.

Уже состоялись два из пяти вебинаров: «Общее описание и актуальность» и «Терминология». С ними можно познакомиться здесь. Следующий мы проведём 9 августа в 12:00 по Москве: «ГОСТ Р 71207–2024 — Статический анализ программного обеспечения. Критические ошибки» (страница регистрации).

Приходите послушать, задать вопросы. Если не знаете, готовы ли слушать цикл, и хочется составить общее впечатление про стандарт и про то, о чём мы рассказываем, предлагаю послушать вот этот доклад. Там про то же самое, но поверхностно и без подробностей (невозможно такую тему в 35 минут уместить) :)

Ещё полезное для C++ разработчиков:

Совместно с Servicepipe 8 августа мы будем проводить бесплатный совместный митап «В чём сила C++, Брат?» Приглашаем поучаствовать и подискутировать. Осталось некоторое количество offline-мест, плюс можно поучаствовать в online-формате. От нас будет Филипп Хандельянц (C++ Team Lead) с темой «Разрушители мифов: С++ уже не торт».

Дмитрий Свиридкин под моей редакцией готовит и публикует у нас в блоге главы из цикла «Путеводитель C++ программиста по неопределённому поведению». Приходите постепенно читать и восхищаться глубиной глубин C++. Предполагаем, что материал будет ещё раз переработан и свёрстан в виде печатной книги. Но это уже другая история.

Ответ на: комментарий от WatchCat

Рано или поздно, но создателям стандарта C++ придётся это сделать, т.к. бесконечно таскать легаси конечно можно, но дорого.

Нахера менять базовый синтаксис языка? А все остальное в подключаемых либах.

Ygor ★★★★★
()
Ответ на: комментарий от Ygor

Добавив очевидно либой.

Либой можно добавить только то, что язык позволяет сделать. Расширить компилятор Си++ либой нельзя.

Например так: https://en.cppreference.com/w/cpp/utility/move

Для этого сначала надо добавить «&&» в синтаксис.

monk ★★★★★
()
18 сентября 2024 г.