Рубрика «static analysis»

в 17:16, , рубрики: crackme, decompilation, Ghidra, linux, static analysis, ассемблер, декомпиляция, реверс-инжиниринг, Си

Коротко о себе: я не гуру реверса, я не какой-нибудь профи с 20 летним стажем, я такой же обычный человек как и вы, я тоже запинался и не понимал как вы некоторое время назад. Я нахожусь на Linux Mint Cinnamon, поэтому это руководство подойдет для любого Linux дистрибутива. Можно попытаться сделать то же самое на Windows! Ghidra кроссплатформенна, так что пользователи Windows смогут повторить все шаги практически один в один

Если вы профессионал, вам всё равно может быть полезно освежить знания :-)

Боль новичка в реверсе:Читать полностью »

в 13:33, , рубрики: quality analysis, quality assurance, software quality, static analysis

В этой части перевод раздела отчета по разделу "Инженерия". Во второй части будет перевод по оставшимся двум разделам - "Системные интеграторы", "Управление поставщиками"
--------------------

Представляем отчет «Состояние отрасли»

Читать полностью »

в 12:39, , рубрики: c++, pvs, pvs-studio, static analysis, support, анализ кода, баги, Блог компании PVS-Studio, поддержка, С++, статический анализ

Предлагаем вашему вниманию интересную историю о поиске бага внутри анализатора PVS-Studio. Да, мы тоже допускаем ошибки, но мы готовы засучить рукава и залезть в самую глубину "кроличьей норы".

1005_StoriesFromSupport_ru/image1.png

Небольшое предисловие

Наш коллега уже рассказывал про нашу техническую поддержку. Но всегда интересно послушать какие-то истории, и они у нас есть.

Если хочется программистской жести, то можете сразу переходить к следующему разделу. Если же хочется в целом познакомиться, как мы работаем, то продолжайте читать :). Также вы можете посмотреть юмористический доклад о поддержке С++ программистов.Читать полностью »

в 10:42, , рубрики: amd64, asm, cpuprofile, Go, golang, performance, pprof, profiling, static analysis, высокая производительность, Компиляторы, системное программирование

Сегодня мы будем анализировать бинарники на пару с CPU профилями, чтобы создать на их основе расширенные профили исполнения. Эти дополненные профили мы сможем использовать для оценки времени, которое программа тратит на проверки выхода за границу массивов и слайсов.

Анализируем bound checks в Go по CPU профилю - 1

Читать полностью »

в 11:50, , рубрики: .net 6, CLion, MISRA, OWASP, pvs-studio, safety, SAST, security, static analysis, Unreal Engine, visual studio 2022, Блог компании PVS-Studio

0905_PVS-Studio_2021_ru/image1.png

2021 вот-вот закончится, а значит, настало время подведения итогов! Сегодня мы поговорим о том, что нового появилось в анализаторе PVS-Studio за прошедший год. Устраивайтесь поудобнее, мы начинаем.

Читать полностью »

в 12:51, , рубрики: C, c++, static analysis, static analyzer, strncat, Блог компании PVS-Studio, ложное срабатывание, С++, статический анализ, статический анализ кода, статический анализатор

Главное предназначение статических анализаторов – найти те ошибки, которые остались незамеченными разработчиком. И недавно команда PVS-Studio снова столкнулась с интересным примером мощи этой методики.

Один день из жизни разработчика PVS-Studio, или как я отлаживал диагностику, оказавшуюся внимательнее трёх программистов - 1

Читать полностью »

в 14:52, , рубрики: Go, golang, open source, ruleguard, static analysis, Программирование, статический анализ кода, управление разработкой

А что, если я скажу вам, что линтеры для Go можно создавать вот таким декларативным способом?

func alwaysTrue(m dsl.Matcher) {
    m.Match(`strings.Count($_, $_) >= 0`).Report(`always evaluates to true`)
    m.Match(`bytes.Count($_, $_) >= 0`).Report(`always evaluates to true`)
}

func replaceAll() {
    m.Match(`strings.Replace($s, $d, $w, $n)`).
        Where(m["n"].Value.Int() <= 0).
        Suggest(`strings.ReplaceAll($s, $d, $w)`)
}

Год назад я уже рассказывал об утилите ruleguard. Сегодня хотелось бы поделиться тем, что нового появилось за это время.

Основные нововведения:

Релиз ruleguard v0.3.0 - 1Читать полностью »

в 7:06, , рубрики: .net, C#, onlyoffice, open source, pvs-studio, static analysis, Блог компании PVS-Studio, информационная безопасность
image1.png

В наши обзоры ошибок программ с отрытым исходным кодом редко попадают серверные сетевые приложения. Наверное, это связано с их популярностью. Ведь мы стараемся обращать внимание на проекты, которые нам предлагают сами читатели. А серверы часто выполняют очень важные функции, но их деятельность и польза остаётся невидимой для большинства пользователей. Так, чисто случайно, был проверен код ONLYOFFICE Community Server. Получился очень весёлый обзор.
Читать полностью »

в 7:19, , рубрики: 0day, CVE, cwe, DevSecOps, information security, pvs-studio, SAST, static analysis, static code analysis, zero-day, Блог компании PVS-Studio, информационная безопасность, статический анализ кода, уязвимость нулевого дня

Статический анализатор кода PVS-Studio как защита от уязвимостей нулевого дня

Угроза нулевого дня (англ. zero day) – это термин, обозначающий уязвимости, допущенные при разработке, которые еще не были обнаружены. Такие уязвимости могут использоваться злоумышленниками, что в итоге затронет и репутацию компании. Перед разработчиками стоит задача максимально сократить количество дефектов в коде, которые могут стать причиной такой уязвимости. Одним из инструментов, помогающих выявить дефекты безопасности, является статический анализатор кода PVS-Studio для C, C++, C#, Java.
Читать полностью »

в 7:55, , рубрики: copypaste, cpd, java, modelica, open source, pmd, static analysis, копипаст, Программирование, Проектирование и рефакторинг, статический анализ

Ну, если под любимым языком подразумевается русский, английский и т. д., то это в другой хаб. А если язык программирования или разметки, то конечно писать анализатор самим! На первый взгляд, это очень сложно, но, к счастью, существуют готовые многоязыковые инструменты, в которые относительно легко добавить поддержку нового языка. Сегодня я покажу, как можно с достаточно незначительными затратами времени добавить поддержку языка Modelica в анализатор PMD.

Кстати, знаете, что может ухудшить качество кодовой базы, полученной из последовательности идеальных pull request-ов? Тот факт, что сторонние программисты копировали в свои патчи куски существующего кода проекта вместо грамотного абстрагирования. Согласитесь, в какой-то мере такую банальность отловить ещё сложнее, чем некачественный код — он же качественный и даже уже тщательно отлаженный, поэтому тут недостаточно локальной проверки, нужно держать в голове всю кодовую базу, а человеку это непросто… Так вот: если на добавление полной поддержки Modelica (без создания конкретных правил) до состояния «может запускать примитивные проверки» у меня ушло около недели, то поддержку только copy-paste detector часто можно вообще добавить за день!

Читать полностью »

123
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js