Машинное обучение плотно укоренилось в различных сферах деятельности людей: от распознавания речи до медицинской диагностики. Популярность этого подхода столь велика, что его пытаются использовать везде, где только можно. Некоторые попытки заменить классические подходы нейросетями оканчиваются не столь уж успешно. Давайте взглянем на машинное обучение с точки зрения задач создания эффективных статических анализаторов кода для поиска ошибок и потенциальных уязвимостей.
Читать полностью »
Рубрика «static code analyzer»
Использование машинного обучения в статическом анализе исходного кода программ
2020-01-16 в 12:23, admin, рубрики: artificial intelligence, big data, BigData, Clever-Commit, CodeGuru, Commit Assistant, DeepCode, Embold, github, Infer, mashine learning, ml, pvs-studio, SapFix, Sapienz, static code analysis, static code analyzer, Блог компании PVS-Studio, Большие данные, искусственный интеллект, машинное обучение, Программирование, статический анализ кода, статический анализаторSonarQube и IntelliJ IDEA: правильная интеграция
2019-10-25 в 11:34, admin, рубрики: checkstyle, fingbugs, IDE, idea, java, pmd, sonarlint, sonarqube, SpotBugs, static code analysis, static code analyzer, Блог компании НПО «Криста»SonarQube — отличный инструмент для внедрения статического анализа кода в процесс разработки ПО. Он поддерживает как используемую у нас в компании Java, так и большое количество других языков программирования.
На данный момент этот инструмент плотно вошёл в нашу жизнь, следя за единым стилем кода и уберегая от самых разных видов ошибок. Поиск ошибок происходит при сборке на CI или перед принятием pull request в версионное хранилище. Все найденные ошибки отображаются в Web-интерфейсе, где можно изучать их и управлять ими.
Однако беда в том, что удобный Web-интерфейс не означает удобство по устранению найденных замечаний в коде проекта. Для того, чтобы внести исправление, приходится сначала смотреть, в каком именно файле это замечание обнаружено, потом открывать этот файл и только затем вносить исправление. Так-же это приводит к тому, что разработчик узнает о проблеме с очень большим отставанием (иногда анализ в SonarQube может занимать десятки минут), что не способствует поддержанию чистоты кода.
Для того, чтобы облегчить жизнь разработчикам нашей компании, использующим IntelliJ IDEA, я составил инструкцию. А в дальнейшем понял, что она может быть полезной более широкому кругу специалистов, и решил выложить её в публичный доступ.
Преподавателям на заметку: PVS-Studio для знакомства студентов с инструментами анализа кода
2019-10-04 в 7:12, admin, рубрики: C, c++, codereview, csharp, devops, education, java, programming, pvs-studio, SAST, static code analysis, static code analyzer, tool, Блог компании PVS-Studio, информационные технологии, обучение, обучение программированию, Программирование, Си, Совершенный код, статический анализ кода, статический анализатор кода, Учебный процесс в ITПо общению в поддержке и некоторым другим косвенным признакам мы заметили, что среди наших бесплатных пользователей стало много студентов. Причина: анализатор PVS-Studio начал использоваться некоторыми преподавателями в рамках дисциплин, связанных с разработкой программного обеспечения. Нам это очень приятно, и мы решили написать эту небольшую заметку, чтобы привлечь внимание и других преподавателей. Мы рады, что студенты знакомятся с методологией статического анализа кода в целом и инструментом PVS-Studio в частности. Наша команда постарается внести вклад в развитие этой тенденции.
Читать полностью »
For professors’ note: use PVS-Studio to get students familiar with code analysis tools
2019-10-04 в 6:59, admin, рубрики: C, c++, codereview, csharp, devops, education, java, programming, pvs-studio, SAST, static code analysis, static code analyzer, tool, Блог компании PVS-Studio, Программирование, Совершенный код, Учебный процесс в ITOur support chats and some other indirect signs showed that there are many students among our free users. Here's the reason: PVS-Studio is now more often used by professors in courses related to software development. We are very pleased with this, and we decided to write this small article to fall under notice of other teachers. We are pleased that students become acquainted with the methodology of static code analysis in general and the PVS-Studio tool in particular. Our team will try to contribute to this trend.
Читать полностью »
Легкий способ заработать на Bug Bounty
2019-08-21 в 13:30, admin, рубрики: bugbounty, bughunting, FOSSA, open source, pvs-studio, static code analysis, static code analyzer, Блог компании PVS-Studio, информационная безопасность, Лайфхаки для гиков, Программирование
Наверняка вы уже не раз слышали выражение «багхантинг», и я уверен, что вы бы не отказались заработать пару-тройку сотен (а то и тысяч) долларов, найдя в чужой программе потенциальную уязвимость. В этой статье я расскажу о трюке, который поможет исследовать проекты с открытым исходным кодом на наличие таких уязвимостей.
Читать полностью »
An Easy Way to Make Money on Bug Bounty
2019-08-21 в 13:25, admin, рубрики: bugbounty, bughunting, FOSSA, open source, pvs-studio, static code analysis, static code analyzer, Блог компании PVS-Studio, информационная безопасность, Лайфхаки для гиков, Программирование
Surely you've heard the expression «bug hunting» many times. I dare to assume, you won't mind earning one or two hundred (or even thousand) dollars by finding a potential vulnerability in someone's program. In this article, I'll tell you about a trick that will help analyzing open source projects in order to find such vulnerabilities.
Читать полностью »
PVS-Studio в гостях у Apache Hive
2019-08-15 в 7:12, admin, рубрики: Apache Hive, big data, bugs, devops, DevSecOps, errors, Hadoop, Hive, java, open source, pvs-studio, pvsstudio, SAST, source code, static code analysis, static code analyzer, баги, базы данных, Блог компании PVS-Studio, информационная безопасность, открытые проекты, ошибки, статический анализ кода
Последние десять лет движение open source является одним из ключевых факторов развития IT-отрасли и важной ее составной частью. Роль и место open source не только усиливается в виде роста количественных показателей, но происходит и изменение его качественного позиционирования на IT-рынке в целом. Не сидя сложа руки, бравая команда PVS-Studio активно способствует закреплению позиций open source проектов, находя затаившиеся баги в огромных толщах кодовых баз и предлагая для таких проектов бесплатные лицензии. Эта статья не исключение! Сегодня речь пойдет об Apache Hive! Отчет получен — есть на что посмотреть!
Читать полностью »
Знакомство со статическим анализатором PVS-Studio при разработке C++ программ в среде Linux
2019-08-06 в 8:23, admin, рубрики: C, c++, cmake, code review, devops, eclipse, linux, linux development, linux devops, make, makefile, pvs-studio, PVS-Studio for Linux, qmake, SAST, sonarqube, static code analysis, static code analyzer, waf, Блог компании PVS-Studio, качество кода, обзор кода, Разработка под Linux, Си, статический анализ кодаPVS-Studio поддерживает анализ проектов на языках C, C++, C# и Java. Использовать анализатор можно под системами Windows, Linux и macOS. В этой заметке речь пойдет об анализе кода, написанного на C и C++ в среде Linux.
Установка
Установить PVS-Studio под Linux можно разными способами, в зависимости от типа дистрибутива. Наиболее удобный и предпочтительный способ – использование репозитория: так это позволяет автоматически обновлять анализатор при выходе новых версий. Второй вариант – использовать установочный пакет, который можно скачать здесь.
Читать полностью »
Ошибки, которые не находит статический анализ кода, потому, что он не используется
2019-07-15 в 13:31, admin, рубрики: bugs, C, c++, pvs-studio, static code analysis, static code analyzer, Блог компании PVS-StudioВремя от времени читатели наших статей о проверке открытых проектов обращают внимание, что статический анализатор кода PVS-Studio выявляет большой процент ошибок, которые незначительны или вообще не влияют на работу приложения. Это действительно так. Большинство важных ошибок уже поправлены благодаря ручному тестированию, отзывам пользователей и иным дорогим методам. При этом, многие из этих ошибок можно было бы найти ещё на этапе написания кода и исправить с минимальными потерями времени, репутации, денег. В этой статье будет приведено несколько примеров реальных ошибок, которые были бы сразу исправлены, если бы авторы проектов использовали статический анализ кода.
Errors that static code analysis does not find because it is not used
2019-07-15 в 13:30, admin, рубрики: bugs, C, c++, pvs-studio, static code analysis, static code analyzer, Блог компании PVS-StudioReaders of our articles occasionally note that the PVS-Studio static code analyzer detects a large number of errors that are insignificant and don't affect the application. It is really so. For the most part, important bugs have already been fixed due to manual testing, user feedback, and other expensive methods. At the same time, many of these errors could have been found at the code writing stage and corrected with minimal loss of time, reputation and money. This article will provide several examples of real errors, which could have been immediately fixed, if project authors had used static code analysis.