Pull to refresh
  • by relevance
  • by date
  • by rating

Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11

Positive Technologies corporate blog Information Security *

Краткое содержание


  1. Несовместимость DAST / SAST.
  2. IAST: Buzzword и реальность.
  3. Третий путь.

Как мы отмечали ранее, у систем поиска уязвимостей SAST и DAST есть как преимущества, так и недостатки, поэтому проблема поиска оптимального подхода к автоматизации анализа безопасности приложений не теряет своей актуальности. За последние несколько лет было выработано как минимум три подхода к решению этой задачи.
Читать дальше →
Total votes 26: ↑20 and ↓6 +14
Views 8.1K
Comments 15

Поиск уязвимостей в байткоде Java: что делать с результатами?

Ростелеком-Солар corporate blog Information Security *Java *

Solar inCode умеет обнаруживать уязвимости в байткоде Java. Но показать инструкцию байткода, которая содержит уязвимость, мало. Как показать уязвимость в исходном коде, которого нет?
Читать дальше →
Total votes 14: ↑12 and ↓2 +10
Views 6.5K
Comments 7

QIWI Security Development Lifecycle

QIWI corporate blog Information Security *IT systems testing *
Sandbox

В определенный момент в жизни почти каждой финтех-компании настает время, когда количество приложений внутренней разработки начинает превышать число разработчиков, бизнес хочет больше новых фич, а на Bug Bounty продолжают сдавать все новые и новые уязвимости…


Но при этом есть потребность быстро выпускать качественное и безопасное ПО, а не тушить пожары от выявленных ошибок безопасности откатами версий и ночными хотфиксами.


Когда команда ИБ состоит из пары человек, кажется, что так будет всегда, но мы решили выжать из ситуации максимум позитива и раз и навсегда "засекьюрить" свои приложения.


С чего начать? Наш план был прост:


  1. Упорядочить процессы постановки, исполнения и выпуска задач, не став палкой в колесах разработки.
  2. Прикрутить модные сканеры безопасности.
  3. Отревьюить пару десятков приложений.
  4. Откинуться в кресле, наблюдая за тем, как это все само работает.

image
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 9.2K
Comments 7

Пишем настоящий Pointer Analysis для LLVM. Часть 1: Введение или первое свидание с миром анализа программ

Ростелеком-Солар corporate blog Information Security *Compilers *
Привет, Хабр!

Эта статья станет вступительной в моем небольшом цикле заметок, посвященном такой технике анализа программ, как pointer analysis. Алгоритмы pointer analysis позволяют с заданной точностью определить на какие участки памяти переменная или некоторое выражение может указывать. Без знания информации об указателях анализ программ, активно использующих указатели (то есть программ на любом современном языке программирования — C, C++, C#, Java, Python и других), практически невозможен. Поэтому в любом мало-мальски оптимизируещем компиляторе или серьезном статическом анализаторе кода применяются техники pointer analysis для достижения точных результатов.

В данном цикле статей мы сосредоточимся на написании эффективного межпроцедурного алгоритма pointer analysis, рассмотрим основные современные подходы к задаче, ну и, конечно же, напишем свой очень серьезный алгоритм pointer analysis для замечательного языка внутреннего представления программ LLVM. Всех интересующихся прошу под кат, будем анализировать программы и многое другое!
Читать дальше →
Total votes 39: ↑38 and ↓1 +37
Views 6.8K
Comments 16

Почему анализ защищенности JavaScript нельзя по настоящему автоматизировать?

Positive Technologies corporate blog Information Security *JavaScript *
Почему в случае JavaScript приходится обходиться простыми подходами статического анализа, когда есть более интересные подходы к автоматическому анализу кода?

В ответ на этот вопрос, мой коллега Алексей Гончаров kukumumu ответил лаконично: «JavaScript это панковский язык» и кинул ссылку на статью Jasper Cashmore «A Javascript journey with only six characters», которая действительно погружает нас в путешествие в эзотерический мир JSFuck и сразу все ставит на свои места.
Мне настолько понравилось, что я решил перевести статью на русский язык.
Читать дальше →
Total votes 30: ↑19 and ↓11 +8
Views 6.8K
Comments 20

PVS-Studio как SAST решение

PVS-Studio corporate blog Information Security *Programming *Development Management *DevOps *
PVS-Studio и SAST

До недавнего времени в своих статьях мы позиционировали PVS-Studio как инструмент для выявления ошибок в коде. При этом мы почти не рассматривали PVS-Studio в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения тестирования защищённости приложений и DevSecOps практик.
Читать дальше →
Total votes 30: ↑27 and ↓3 +24
Views 2.3K
Comments 8

Проверили с помощью PVS-Studio исходные коды Android, или никто не идеален

PVS-Studio corporate blog Information Security *Open source *C++ *Development for Android *

Android и Единорог PVS-Studio

Разработка больших сложных проектов невозможна без использования методологий программирования и инструментальных средств, помогающих контролировать качество кода. В первую очередь, это грамотный стандарт кодирования, обзоры кода, юнит-тесты, статические и динамические анализаторы кода. Всё это помогает выявлять дефекты в коде на самых ранних этапах разработки. В этой статье демонстрируются возможности статического анализатора PVS-Studio по выявлению ошибок и потенциальных уязвимостей в коде операционной системы Android. Надеемся, что статья привлечёт внимание читателей к методологии статического анализа кода и они захотят внедрить её в процесс разработки собственных проектов.
Читать дальше →
Total votes 92: ↑87 and ↓5 +82
Views 32K
Comments 88

Команда PVS-Studio непредвзята при написании статей

PVS-Studio corporate blog
Наша команда проверяет различные открытые проекты с помощью PVS-Studio и пишет о результатах анализа кода. Время от времени мы сталкиваемся со странными обвинениями в предвзятости. Думаем, что часто это «тролли», и вступать в дискуссии с ними не имеет смысла. С другой стороны, оставлять подобные комментарии совсем без ответа тоже не хочется. Поэтому я решил написать небольшую статью, чтобы иметь возможность отвечать одной ссылкой.

Единорог в шоке от обсуждений

Читать дальше →
Total votes 71: ↑62 and ↓9 +53
Views 11K
Comments 50

В очередной раз анализатор PVS-Studio оказался внимательнее человека

PVS-Studio corporate blog C++ *Qt *
Возьми баг

Изучая предупреждения анализатора PVS-Studio в процессе проверки различных открытых проектов, мы вновь и вновь убеждаемся, сколь полезен может быть этот инструмент. Анализатор кода невероятно внимателен и никогда не устаёт. Он указывает на ошибки, которые ускользают даже при внимательном обзоре кода. Рассмотрим очередной такой случай.
Читать дальше →
Total votes 85: ↑81 and ↓4 +77
Views 23K
Comments 65

Как правильно использовать статический анализ

Ростелеком-Солар corporate blog Information Security *
Сейчас все больше говорят о статическом анализе для поиска уязвимостей как необходимом этапе разработки. Однако многие говорят и о проблемах статического анализа. Об этом много говорили на прошлом Positive Hack Days, и по итогам этих дискуссий мы уже писали о том, как устроен статический анализатор. Если вы пробовали какой-нибудь серьезный инструмент, вас могли отпугнуть длинные отчеты с запутанными рекомендациями, сложности настройки инструмента и ложные срабатывания. Так все-таки нужен ли статический анализ?

Наш опыт подсказывает, что нужен. И многие проблемы, которые возникают при первом взгляде на инструмент, вполне можно решить. Попробую рассказать, что может делать пользователь и каким должен быть анализатор, чтобы его использование было полезным, а не вносило «еще один ненужный инструмент, который требуют безопасники».

Читать дальше →
Total votes 35: ↑32 and ↓3 +29
Views 9.1K
Comments 17

Релиз PVS-Studio 6.26

PVS-Studio corporate blog
PVS-Studio 6.26

Обычно мы не пишем заметки про выход новой версии анализатора PVS-Studio. Однако в новый релиз вошло много интересных изменений, касающихся анализа C и C++ кода, о которых хочется рассказать нашим пользователям.
Читать дальше →
Total votes 52: ↑49 and ↓3 +46
Views 6.6K
Comments 23

PVS-Studio 7.00

PVS-Studio corporate blog Information Security *Java *C++ *DevOps *
PVS-Studio C#\Java\C++Сегодня важный день – после 28 релизов шестой версии мы выпускаем PVS-Studio 7.00, где ключевым новшеством является поддержка языка Java. Однако за 2018 год накопилось много других важных изменений, касающихся С++, С#, инфраструктуры и поддержки стандартов кодирования. Поэтому предлагаем вашему вниманию заметку, которая обобщает основные изменения, произошедшие в PVS-Studio за последнее время.
Читать дальше →
Total votes 76: ↑72 and ↓4 +68
Views 14K
Comments 58

PVS-Studio 7.00

PVS-Studio corporate blog Java *C++ *DevOps *
PVS-Studio C#\Java\C++Today is an important day — after 28 releases of the sixth version we present our PVS-Studio 7.00, in which the key innovation is the support of the Java language. However, during 2018 we have acquired many other important changes related to C++, C#, infrastructure and support of coding standards. Therefore, we bring to your attention a note that sums up the major changes that have happened in PVS-Studio for the last time.
Читать дальше →
Total votes 52: ↑51 and ↓1 +50
Views 3.7K
Comments 4

PVS-Studio for Java

PVS-Studio corporate blog Open source *Java *DevOps *
PVS-Studio for Java

In the seventh version of the PVS-Studio static analyzer, we added support of the Java language. It's time for a brief story of how we've started making support of the Java language, how far we've come, and what is in our further plans. Of course, this article will list first analyzer trials on open source projects.
Читать дальше →
Total votes 31: ↑31 and ↓0 +31
Views 2.3K
Comments 3

PVS-Studio ROI

PVS-Studio corporate blog Development Management *Product Management *

PVS-Studio ROI

Occasionally, we're asked a question, what monetary value the company will receive from using PVS-Studio. We decided to draw up a response in the form of an article and provide tables, which will show how the analyzer can be useful. We cannot prove absolute accuracy of all calculations in the article, but we suppose the reader will agree with our thoughts, and it will help to make a decision in the matter of getting the license.
Read more →
Total votes 33: ↑32 and ↓1 +31
Views 873
Comments 0

PVS-Studio ROI

PVS-Studio corporate blog Development Management *Product Management *

PVS-Studio ROI

Время от времени нам задают вопрос, какую пользу в денежном эквиваленте получит компания от использования анализатора PVS-Studio. Мы решили оформить ответ в виде статьи и привести таблицы, которые покажут, насколько анализатор может быть полезен. Мы не можем в статье доказать абсолютную достоверность всех расчётов, но думаем, читатель согласится с нашими размышлениями, и это поможет принять решение в вопросе приобретения лицензии.
Читать дальше →
Total votes 41: ↑38 and ↓3 +35
Views 3.6K
Comments 30

О статическом анализе начистоту

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Mobile applications testing *
Последнее время все чаще говорят о статическом анализе как одном из важных средств обеспечения качества разрабатываемых программных продуктов, особенно с точки зрения безопасности. Статический анализ позволяет находить уязвимости и другие ошибки, его можно использовать в процессе разработки, интегрируя в настроенные процессы. Однако в связи с его применением возникает много вопросов. Чем отличаются платные и бесплатные инструменты? Почему недостаточно использовать линтер? В конце концов, при чем тут статистика? Попробуем разобраться.


Читать дальше →
Total votes 40: ↑36 and ↓4 +32
Views 9.8K
Comments 2

False Positives in PVS-Studio: How Deep the Rabbit Hole Goes

PVS-Studio corporate blog C++ *C *Development for Windows *
Единорог PVS-Studio и GetNamedSecurityInfo

Our team provides quick and effective customer support. User requests are handled solely by programmers since our clients are programmers themselves and they often ask tricky questions. Today I'm going to tell you about a recent request concerning one false positive that even forced me to carry out a small investigation to solve the problem.
Read more →
Total votes 21: ↑20 and ↓1 +19
Views 612
Comments 0

Ложные срабатывания в PVS-Studio: как глубока кроличья нора

PVS-Studio corporate blog C++ *C *Development for Windows *

Единорог PVS-Studio и GetNamedSecurityInfo

Наша команда оказывает быструю и эффективную поддержку клиентов. В поддержке принимают участие только программисты, так как вопросы нам тоже задают программисты и над многими из них приходится подумать. Хочется описать одно из недавних обращений в поддержку на тему ложного срабатывания, которое привело к целому небольшому исследованию описанной в письме проблемы.
Читать дальше →
Total votes 37: ↑35 and ↓2 +33
Views 4.5K
Comments 23

Ways to Get a Free PVS-Studio License

PVS-Studio corporate blog

PVS-Studio Free

There are several ways to get a free license of the PVS-Studio static code analyzer, which is meant for searching for errors and potential vulnerabilities. Open source projects, small closed projects, public security specialists and owners of the Microsoft MVP status can use the license for free. The article briefly describes each of these options.

PVS-Studio is a tool designed to detect errors and potential vulnerabilities in the source code of programs, written in C, C++, C# and Java. It works in Windows, Linux and macOS environments.
Read more →
Total votes 25: ↑25 and ↓0 +25
Views 2.2K
Comments 0