Comments 10
Свежая новость с Geektimes: В ОС Tizen от Samsung израильские специалисты обнаружили 40 уязвимостей нулевого дня.
Скоро и мы до неё доберёмся…
Скоро и мы до неё доберёмся…
0
По поводу Coverity — скорее всего Scan выдает еще раза в 4 больше предупреждений вида «unchecked input X taints
variable Y», и в потоке подобного рода сообщений тонут настоящие предупреждения.
Если еще не проверяли, попробуйте проверить ядро OpenBSD, разработчики которого давно уже хвалятся качеством кода и отсутствием эксплуатируемых уязвимостей (очень похоже на Неуловимого Джо, конечно, но тем не менее).
variable Y», и в потоке подобного рода сообщений тонут настоящие предупреждения.
Если еще не проверяли, попробуйте проверить ядро OpenBSD, разработчики которого давно уже хвалятся качеством кода и отсутствием эксплуатируемых уязвимостей (очень похоже на Неуловимого Джо, конечно, но тем не менее).
0
Мы пробовали проверять OpenBSD, даже портировали туда анализатор, но на этом всё. Не нашлось простого способа проверить проект без интеграции в его сборочную систему. Самой системой крайне неудобно пользоваться в виртуальной машине и информации по кросс-компиляции не встретилось.
Если Вы знаете, как собрать OpenBSD в Linux, то мы сможем проверить. Так проверяли Haiku OS когда-то.
Если Вы знаете, как собрать OpenBSD в Linux, то мы сможем проверить. Так проверяли Haiku OS когда-то.
+1
По поводу ложных срабатываний. Насколько я помню, вы же не сами препроцессируете файлы, а используете внешний препроцессор? Иначе можно было бы запомнить, что вот этот кусок кода получился при разворачивании макроса, а вот этот литерал был передан ему параметром. И если он сравнивается с таким же литералом, не выдавать предупреждение.
0
Если честно, я не уловил суть. Как по мне, в независимо от того, насколько хорошо мы можем анализировать макросы, одинаково сложно понять, надо ругаться на 1.3 == 2, или нет. Поэтому прошу сформулировать поподробнее.
+2
CWE-805 весьма коварный «не ошибка». Натыкался на аналогичное предупреждение в cURL.
Надеюсь, что проблема надумана и никто не придумает, как её использовать.
Надеюсь, что проблема надумана и никто не придумает, как её использовать.
0
Андрей, а можно вас попросить https://github.com/ethereum/cpp-ethereum посмотреть?
+1
Да, можно. А вообще лучше предложения направлять сюда: https://github.com/viva64/pvs-studio-check-list
0
P.S.
Мы перепроверили с помощью PVS-Studio свежую версию исходных кодов проекта FreeBSD. Git revision: 59fe28863e6a0903b50b37c616f21a2a865bbbf2
Мы немного поработали с отчетов, отфильтровав явно лишние на наш взгляд сообщения. В списке конечно всё равно осталось много ложных срабатываний, но дальше уже нет возможности убирать лишние предупреждения крупными группами. Оставшиеся предупреждения следует смотреть по отдельности.
Отчет выкладываем в двух форматах (tasks и csv). Тому, кто будет работать с отчетом в начале следует произвести автоматическую замену SOURCE_ROOT на нужный путь, чтобы правильно заработала навигация.
Tasks: http://cppfiles.com/freebsd.plog.tasks
Csv: http://cppfiles.com/freebsd.plog.csv
Мы перепроверили с помощью PVS-Studio свежую версию исходных кодов проекта FreeBSD. Git revision: 59fe28863e6a0903b50b37c616f21a2a865bbbf2
Мы немного поработали с отчетов, отфильтровав явно лишние на наш взгляд сообщения. В списке конечно всё равно осталось много ложных срабатываний, но дальше уже нет возможности убирать лишние предупреждения крупными группами. Оставшиеся предупреждения следует смотреть по отдельности.
Отчет выкладываем в двух форматах (tasks и csv). Тому, кто будет работать с отчетом в начале следует произвести автоматическую замену SOURCE_ROOT на нужный путь, чтобы правильно заработала навигация.
Tasks: http://cppfiles.com/freebsd.plog.tasks
Csv: http://cppfiles.com/freebsd.plog.csv
0
Sign up to leave a comment.
Как найти 56 потенциальных уязвимостей в коде FreeBSD за один вечер