1 апреля 2024 года введён стандарт, устанавливающий общие требования к внедрению и выполнению статического анализа ПО. Стандарт разработан ФСТЭК России и ИСП РАН и входит в комплекс документов, направленных на предотвращение уязвимостей в программах. Возможно, кто-то знает про ГОСТ Р 56939 (Разработка безопасного ПО), где, в частности, говорится про необходимость использования динамических и статических анализаторов кода. Так вот, новый ГОСТ Р 71207–2024 теперь формализует, что, собственно, такое статический анализ кода.
Команда PVS-Studio не могла оставить без внимания этот документ. Мы его изучили, так как разумно привести какие-то элементы анализатора в соответствие с ним. Например, поставлена задача выделить группу диагностик, выявляющих ошибки, которые по ГОСТу считаются критическими. Выяснилось, что наши аннотации не позволяют задавать процедуры-источники/стоки чувствительных данных (это анализ помеченных данных). В ближайшем релизе добавим.
Поскольку мы погрузились в эту тему, то решили про неё, как говорится, научно-популярно порассказывать. Во-первых, не каждый готов читать ГОСТ. Во-вторых, там достаточно высокая сложность и плотность повествования. Некоторые моменты без знания предметной области, с большой вероятностью, могут остаться недопонятыми. А мы будем неспешно рассказывать с примерами и пояснениями.
Уже состоялись два из пяти вебинаров: «Общее описание и актуальность» и «Терминология». С ними можно познакомиться здесь. Следующий мы проведём 9 августа в 12:00 по Москве: «ГОСТ Р 71207–2024 — Статический анализ программного обеспечения. Критические ошибки» (страница регистрации).
Приходите послушать, задать вопросы. Если не знаете, готовы ли слушать цикл, и хочется составить общее впечатление про стандарт и про то, о чём мы рассказываем, предлагаю послушать вот этот доклад. Там про то же самое, но поверхностно и без подробностей (невозможно такую тему в 35 минут уместить) :)
Ещё полезное для C++ разработчиков:
Совместно с Servicepipe 8 августа мы будем проводить бесплатный совместный митап «В чём сила C++, Брат?» Приглашаем поучаствовать и подискутировать. Осталось некоторое количество offline-мест, плюс можно поучаствовать в online-формате. От нас будет Филипп Хандельянц (C++ Team Lead) с темой «Разрушители мифов: С++ уже не торт».
Дмитрий Свиридкин под моей редакцией готовит и публикует у нас в блоге главы из цикла «Путеводитель C++ программиста по неопределённому поведению». Приходите постепенно читать и восхищаться глубиной глубин C++. Предполагаем, что материал будет ещё раз переработан и свёрстан в виде печатной книги. Но это уже другая история.
