По просьбе читателей: проверяем код LDAP-сервера ReOpenLDAP

О рекламка пошла. Вангую как 4.6 пойдет.

Varlgring

Странная опечатка в имени ссылки (правильно: «Valgrind»). Тем не менее, адрес у ссылки правильный.

Вангую очередное нытьё про рекламу и проприетарность под новостью.

Самое важное в этой статье раздел «Прошу записываться на тестирование Beta-версии PVS-Studio под Linux». По комментариям, всем версия нужна. А как до дела.... Ау! Записываемся!

Gringo!

На моем локалкохосте мне не нужно. Что это воще за хрень? Типа PAM, только по сети?

Просили проверить тебя, а ты поручил проверить коллеге. Некрасиво.

Андрей, не все работают на компанию.

Странная опечатка в имени ссылки (правильно: «Valgrind»). Тем не менее, адрес у ссылки правильный.

Исправим. Да, мы совершаем ошибки и ляпы, и в отличии от многих программистов признаём это и не скрываем. :)

Андрей, не все работают на компанию.

Это не мешает попросить ключ, получить его и проверить собственный проект.

Исправим

Ещё одна итерация, и будет норм: Varlgrind → Valgrind.

Андрей, не все работают на компанию.

Это не мешает попросить ключ, получить его и проверить собственный проект.

Мешает, вообще-то. Вы же сами писали, что ориентируетесь на потенциальных клиентов, а не благотворительностью занимаетесь.

На Хабре где-то вроде писалось, что возможна проверка свободных проектов, если те опубликуют новость о PVS Studio.

Мешает, вообще-то. Вы же сами писали, что ориентируетесь на потенциальных клиентов, а не благотворительностью занимаетесь.

Список то один. :) И кто в него попал - получат пробную лицензию. Другое дело, что с компаниями мы будем более подробно общаться и больше прислушиваться к их пожеланиям.

На Хабре где-то вроде писалось, что возможна проверка свободных проектов, если те опубликуют новость о PVS-Studio.

Да. Мы делаем такое предложение многим авторам открытых проектов.

Чем оно лучше BLAST/Cppcheck?

Список то один. :) И кто в него попал - получат пробную лицензию. Другое дело, что с компаниями мы будем более подробно общаться и больше прислушиваться к их пожеланиям.

Вот тут было написано в другом духе: https://habrahabr.ru/company/pvs-studio/blog/306636/#comment_9721352

Я не собираюсь пытаться навязать своё мнение, владельцы продукта вольны выбирать бета-тестеров как им того захочется. Меня просто немного смутила смена курса.

Вот тут было написано в другом духе: https://habrahabr.ru/company/pvs-studio/blog/306636/#comment_9721352

Не вижу противоречия. Да, нам не интересны люди, которые занимаются с Linux-проектами не для работы. Но я никогда не говорил, что такой человек не может получить ключ для каких-то экспериментов. Более того, время от времени я упоминаю в разных местах, что тот или иной человек воспользовался PVS-Studio для проверки своего проекта и даже написал заметку. Ну а когда не написал, странно про это вообще упоминать. :)

Просим вступить вас в ряды Beta-тестеров PVS-Studio для Linux. Это покажет, что к инструменту есть практический интерес. Ещё раз напишу, как можно вступить в ряды энтузиастов.

Если вы хотите помочь нам проверить работу PVS-Studio для Linux, прошу написать нам. Чтобы письма можно было проще обрабатывать, просим указать в теме письма строчку «PVS-Studio for Linux, Beta». Письма отправляйте по адресу support@viva64.com. Просим писать письма с корпоративных ящиков и кратко представиться. Мы будем благодарны всем, кто откликнется, но в первую очередь мы будем учитывать пожелания и рекомендации тех людей, которые потенциально со временем могут стать нашими клиентами.

Почему нельзя просто выложить бета-версию для публичного скачивания?

Почему нельзя просто выложить бета-версию для публичного скачивания?

Смысла нет. Всё равно придётся писать нам, что-бы получить ключ.

Почему нельзя просто выложить бета-версию для публичного скачивания?

Смысла нет. Всё равно придётся писать нам, что-бы получить ключ.

Ok, почему нельзя выложить бета-версию, которая работает, для публичного скачивания?

Либо же, если уж вы так боитесь, что кто-то будет использовать её и дальше, сделать веб-сервис для проверки кода с публичным доступом.

Ok, почему нельзя выложить бета-версию, которая работает, для публичного скачивания? Либо же, если уж вы так боитесь, что кто-то будет использовать её и дальше, сделать веб-сервис для проверки кода с публичным доступом.

Нам нужна обратная связь. Нам нет смысла раздать «кривую» PVS-Studio как можно большему количеству людей. Это только может случайно испортить впечатление, если мы где-то крупно промахнулись. Задача аккуратно слушать тех людей, которые уделят нам свое время и внимание.

Это только может случайно испортить впечатление, если мы где-то крупно промахнулись.

Для подобных случаев стоит большими буквами написать БЕТА-ВЕРСИЯ. Ни у кого ничего не испортится, если, конечно, ваша бета-версия не начнёт чистить разделы или насиловать старушек.

Задача аккуратно слушать тех людей, которые уделят нам свое время и внимание.

Какой людям-то с этого профит? Необходимость писать вам с корпоративного ящика, использовать какой-то ключ и прочий официоз наоборот отпугивают кучу народу.

Всё равно придётся писать нам, что-бы получить ключ.

Это не обязательно :-)

Но проще, конечно, написать, да.

Чем оно лучше BLAST/Cppcheck?

Каверзный вопрос. Нашим сравнениям всё равно не верят. А сторонних и независимых нет. Предлагаю просто установить PVS-Studio, попробовать на своих проектах и ощутить пользу (или не ощутить, тут уж как нам повезёт :).

У меня еще один каверзный вопрос - сколько серьезных уязвимостей (например, позволяющих выполнить произвольный код) было обнаружено вашим продуктом в свободном ПО, которое вы проверяете?

У меня еще один каверзный вопрос - сколько серьезных уязвимостей (например, позволяющих выполнить произвольный код) было обнаружено вашим продуктом в свободном ПО, которое вы проверяете?

Я не знаю. Это слишком трудоемко. Что-бы найти серьезную уязвимость надо долго сидеть с каждой ошибкой по отдельности и думать, думать, как её можно использовать. Рассматривать ассемблерный код, отлаживаться... Делать это при наших промышленных масштабах по проверке проектов, для нас это нереально. Конечно круто было бы найти Heartbleed 2. Но беда, что такой баг можно искать много лет и не найти. Получается, что практичнее осуществлять хоть и поверхностную, но зато множественную проверку проектов и писать про это статьи.

Тогда могу дать любопытный совет: есть список уже известных и исправленных уязвимостей https://cve.mitre.org/cve/index.html и для конкретного опенсорсного продукта можно даже найти и изучить конкретные патчи, затыкающие вполне конкретные уязвимости. Было бы интересно взглянуть на то, насколько хорошо ваш инструмент умеет находить эти уже исправленные ошибки т.е. проверить им ту ревизию исходников, где некая уязвимость точно есть

Хватит уже тренироваться на кошках. Проверьте PLZ ядро OpenBSD. ;) Третий раз прошу.

Проверьте PLZ ядро OpenBSD.

Записали в todo. Ждите.. :) А пока читайте про GCC.

Спасибо, жду с нетерпением. :)