Pull to refresh

Новый формат знакомства с PVS-Studio

PVS-Studio corporate blog Project management *Presentations Video conferencing

Можно ли создать успешный продукт, не говоря ни слова? Боюсь, что нет. Ведь успешный продукт – это в первую очередь известный продукт. Какой бы замечательный инструмент вы бы ни создали в своём гараже, пока люди о нём не слышали, никто его не захочет купить. С этим сталкиваются абсолютно все компании, которые когда-либо существовали, существуют или будут существовать. Мы не исключение. Встречайте наш новый формат знакомства с продуктом — видеовстреча

Читать далее
Total votes 10: ↑7 and ↓3 +4
Views 1.5K
Comments 2

Как выйти на уровень безопасной разработки?

Positive Technologies corporate blog Information Security *Programming *Perfect code *DevOps *

82% всех уязвимостей инфраструктуры содержатся в коде приложения. Каждая пятая из них грозит компании серьезными последствиями. Для того, чтобы находить слабые места еще на стадии разработки, нужен анализатор кода, такой, как PT Application Inspector. Он комбинирует технологии SAST, DAST, IAST и SCA и встраивается в процессы любой компании.

7 апреля приглашаем разработчиков, инженеров DevOps и DevSecOps и внутренних аудиторов безопасности кода на онлайн-митап.

Эксперты Positive Technologies расскажут:

·       о методах анализа и абстрактной интерпретации как способе повышения качества анализа;

·       как посчитать выгоду DevSecOps для компании,

·       как раз и навсегда подружить ИБ и разработку;

·       какие новые фичи появились у PT Application Inspector версии 4.0.

Узнать больше и зарегистрироваться
Total votes 2: ↑2 and ↓0 +2
Views 998
Comments 4

Как покрывать код проверками безопасности: обсуждаем в прямом эфире

Swordfish Security corporate blog Information Security *

Привет, Хабр! 

Не устаю напоминать, что меня зовут Юрий Шабалин. Вместе с командой Стингрей Технолоджиз мы занимаемся анализом защищенности мобильных приложений: находим различные типы уязвимостей и помогаем их устранять. Сегодня я хочу поделиться с вами отличной новостью: в этот четверг, 11 августа, расскажу в прямом эфире в Telegram о том, как покрывать код проверками безопасности. Приглашаю всех вас послушать - уверен, вам будет жарко, вернее, интересно. 

Читать далее
Rating 0
Views 278
Comments 0

Как защищать мобильные приложения в текущих условиях: обсудим на вебинаре

Swordfish Security corporate blog Development of mobile applications *Mobile applications testing *

Привет, Хабр!

Это снова я, Юрий Шабалин — генеральный директор и один из основателей Стингрей Технолоджиз. Наша команда занимается анализом защищенности мобильных приложений: ищет уязвимости и помогает их устранять. 

Надеюсь, вы уже соскучились по хорошим новостям. Так вот, у нас тут новый движ: 30 августа в 14:00 проведем вебинар, где я расскажу про безопасность мобильных приложений в текущих условиях. Приглашаю всех вас, подключайтесь! Обещаю дать как можно больше полезной информации и даже попробую добиться оваций (почему бы и нет).

Читать далее
Rating 0
Views 176
Comments 0

Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11

Positive Technologies corporate blog Information Security *

Краткое содержание


  1. Несовместимость DAST / SAST.
  2. IAST: Buzzword и реальность.
  3. Третий путь.

Как мы отмечали ранее, у систем поиска уязвимостей SAST и DAST есть как преимущества, так и недостатки, поэтому проблема поиска оптимального подхода к автоматизации анализа безопасности приложений не теряет своей актуальности. За последние несколько лет было выработано как минимум три подхода к решению этой задачи.
Читать дальше →
Total votes 26: ↑20 and ↓6 +14
Views 8.3K
Comments 15

Поиск уязвимостей в байткоде Java: что делать с результатами?

Ростелеком-Солар corporate blog Information Security *Java *

Solar inCode умеет обнаруживать уязвимости в байткоде Java. Но показать инструкцию байткода, которая содержит уязвимость, мало. Как показать уязвимость в исходном коде, которого нет?
Читать дальше →
Total votes 14: ↑12 and ↓2 +10
Views 7K
Comments 7

QIWI Security Development Lifecycle

QIWI corporate blog Information Security *IT systems testing *
Sandbox

В определенный момент в жизни почти каждой финтех-компании настает время, когда количество приложений внутренней разработки начинает превышать число разработчиков, бизнес хочет больше новых фич, а на Bug Bounty продолжают сдавать все новые и новые уязвимости…


Но при этом есть потребность быстро выпускать качественное и безопасное ПО, а не тушить пожары от выявленных ошибок безопасности откатами версий и ночными хотфиксами.


Когда команда ИБ состоит из пары человек, кажется, что так будет всегда, но мы решили выжать из ситуации максимум позитива и раз и навсегда "засекьюрить" свои приложения.


С чего начать? Наш план был прост:


  1. Упорядочить процессы постановки, исполнения и выпуска задач, не став палкой в колесах разработки.
  2. Прикрутить модные сканеры безопасности.
  3. Отревьюить пару десятков приложений.
  4. Откинуться в кресле, наблюдая за тем, как это все само работает.

image
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 9.6K
Comments 7

Пишем настоящий Pointer Analysis для LLVM. Часть 1: Введение или первое свидание с миром анализа программ

Ростелеком-Солар corporate blog Information Security *Compilers *
Привет, Хабр!

Эта статья станет вступительной в моем небольшом цикле заметок, посвященном такой технике анализа программ, как pointer analysis. Алгоритмы pointer analysis позволяют с заданной точностью определить на какие участки памяти переменная или некоторое выражение может указывать. Без знания информации об указателях анализ программ, активно использующих указатели (то есть программ на любом современном языке программирования — C, C++, C#, Java, Python и других), практически невозможен. Поэтому в любом мало-мальски оптимизируещем компиляторе или серьезном статическом анализаторе кода применяются техники pointer analysis для достижения точных результатов.

В данном цикле статей мы сосредоточимся на написании эффективного межпроцедурного алгоритма pointer analysis, рассмотрим основные современные подходы к задаче, ну и, конечно же, напишем свой очень серьезный алгоритм pointer analysis для замечательного языка внутреннего представления программ LLVM. Всех интересующихся прошу под кат, будем анализировать программы и многое другое!
Читать дальше →
Total votes 39: ↑38 and ↓1 +37
Views 6.9K
Comments 16

Почему анализ защищенности JavaScript нельзя по настоящему автоматизировать?

Positive Technologies corporate blog Information Security *JavaScript *
Почему в случае JavaScript приходится обходиться простыми подходами статического анализа, когда есть более интересные подходы к автоматическому анализу кода?

В ответ на этот вопрос, мой коллега Алексей Гончаров kukumumu ответил лаконично: «JavaScript это панковский язык» и кинул ссылку на статью Jasper Cashmore «A Javascript journey with only six characters», которая действительно погружает нас в путешествие в эзотерический мир JSFuck и сразу все ставит на свои места.
Мне настолько понравилось, что я решил перевести статью на русский язык.
Читать дальше →
Total votes 30: ↑19 and ↓11 +8
Views 7K
Comments 20

PVS-Studio как SAST решение

PVS-Studio corporate blog Information Security *Programming *Development Management *DevOps *
PVS-Studio и SAST

До недавнего времени в своих статьях мы позиционировали PVS-Studio как инструмент для выявления ошибок в коде. При этом мы почти не рассматривали PVS-Studio в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения тестирования защищённости приложений и DevSecOps практик.
Читать дальше →
Total votes 30: ↑27 and ↓3 +24
Views 2.5K
Comments 8

Проверили с помощью PVS-Studio исходные коды Android, или никто не идеален

PVS-Studio corporate blog Information Security *Open source *C++ *Development for Android *

Android и Единорог PVS-Studio

Разработка больших сложных проектов невозможна без использования методологий программирования и инструментальных средств, помогающих контролировать качество кода. В первую очередь, это грамотный стандарт кодирования, обзоры кода, юнит-тесты, статические и динамические анализаторы кода. Всё это помогает выявлять дефекты в коде на самых ранних этапах разработки. В этой статье демонстрируются возможности статического анализатора PVS-Studio по выявлению ошибок и потенциальных уязвимостей в коде операционной системы Android. Надеемся, что статья привлечёт внимание читателей к методологии статического анализа кода и они захотят внедрить её в процесс разработки собственных проектов.
Читать дальше →
Total votes 92: ↑87 and ↓5 +82
Views 32K
Comments 88

Команда PVS-Studio непредвзята при написании статей

PVS-Studio corporate blog
Наша команда проверяет различные открытые проекты с помощью PVS-Studio и пишет о результатах анализа кода. Время от времени мы сталкиваемся со странными обвинениями в предвзятости. Думаем, что часто это «тролли», и вступать в дискуссии с ними не имеет смысла. С другой стороны, оставлять подобные комментарии совсем без ответа тоже не хочется. Поэтому я решил написать небольшую статью, чтобы иметь возможность отвечать одной ссылкой.

Единорог в шоке от обсуждений

Читать дальше →
Total votes 71: ↑62 and ↓9 +53
Views 11K
Comments 50

В очередной раз анализатор PVS-Studio оказался внимательнее человека

PVS-Studio corporate blog C++ *Qt *
Возьми баг

Изучая предупреждения анализатора PVS-Studio в процессе проверки различных открытых проектов, мы вновь и вновь убеждаемся, сколь полезен может быть этот инструмент. Анализатор кода невероятно внимателен и никогда не устаёт. Он указывает на ошибки, которые ускользают даже при внимательном обзоре кода. Рассмотрим очередной такой случай.
Читать дальше →
Total votes 85: ↑81 and ↓4 +77
Views 24K
Comments 65

Как правильно использовать статический анализ

Ростелеком-Солар corporate blog Information Security *
Сейчас все больше говорят о статическом анализе для поиска уязвимостей как необходимом этапе разработки. Однако многие говорят и о проблемах статического анализа. Об этом много говорили на прошлом Positive Hack Days, и по итогам этих дискуссий мы уже писали о том, как устроен статический анализатор. Если вы пробовали какой-нибудь серьезный инструмент, вас могли отпугнуть длинные отчеты с запутанными рекомендациями, сложности настройки инструмента и ложные срабатывания. Так все-таки нужен ли статический анализ?

Наш опыт подсказывает, что нужен. И многие проблемы, которые возникают при первом взгляде на инструмент, вполне можно решить. Попробую рассказать, что может делать пользователь и каким должен быть анализатор, чтобы его использование было полезным, а не вносило «еще один ненужный инструмент, который требуют безопасники».

Читать дальше →
Total votes 35: ↑32 and ↓3 +29
Views 9.7K
Comments 17

Релиз PVS-Studio 6.26

PVS-Studio corporate blog
PVS-Studio 6.26

Обычно мы не пишем заметки про выход новой версии анализатора PVS-Studio. Однако в новый релиз вошло много интересных изменений, касающихся анализа C и C++ кода, о которых хочется рассказать нашим пользователям.
Читать дальше →
Total votes 52: ↑49 and ↓3 +46
Views 6.7K
Comments 23

PVS-Studio 7.00

PVS-Studio corporate blog Information Security *Java *C++ *DevOps *
PVS-Studio C#\Java\C++Сегодня важный день – после 28 релизов шестой версии мы выпускаем PVS-Studio 7.00, где ключевым новшеством является поддержка языка Java. Однако за 2018 год накопилось много других важных изменений, касающихся С++, С#, инфраструктуры и поддержки стандартов кодирования. Поэтому предлагаем вашему вниманию заметку, которая обобщает основные изменения, произошедшие в PVS-Studio за последнее время.
Читать дальше →
Total votes 76: ↑72 and ↓4 +68
Views 14K
Comments 58

PVS-Studio 7.00

PVS-Studio corporate blog Java *C++ *DevOps *
PVS-Studio C#\Java\C++Today is an important day — after 28 releases of the sixth version we present our PVS-Studio 7.00, in which the key innovation is the support of the Java language. However, during 2018 we have acquired many other important changes related to C++, C#, infrastructure and support of coding standards. Therefore, we bring to your attention a note that sums up the major changes that have happened in PVS-Studio for the last time.
Читать дальше →
Total votes 52: ↑51 and ↓1 +50
Views 3.8K
Comments 4

PVS-Studio for Java

PVS-Studio corporate blog Open source *Java *DevOps *
PVS-Studio for Java

In the seventh version of the PVS-Studio static analyzer, we added support of the Java language. It's time for a brief story of how we've started making support of the Java language, how far we've come, and what is in our further plans. Of course, this article will list first analyzer trials on open source projects.
Читать дальше →
Total votes 31: ↑31 and ↓0 +31
Views 2.4K
Comments 3

PVS-Studio ROI

PVS-Studio corporate blog Development Management *Product Management *

PVS-Studio ROI

Occasionally, we're asked a question, what monetary value the company will receive from using PVS-Studio. We decided to draw up a response in the form of an article and provide tables, which will show how the analyzer can be useful. We cannot prove absolute accuracy of all calculations in the article, but we suppose the reader will agree with our thoughts, and it will help to make a decision in the matter of getting the license.
Read more →
Total votes 33: ↑32 and ↓1 +31
Views 964
Comments 0

PVS-Studio ROI

PVS-Studio corporate blog Development Management *Product Management *

PVS-Studio ROI

Время от времени нам задают вопрос, какую пользу в денежном эквиваленте получит компания от использования анализатора PVS-Studio. Мы решили оформить ответ в виде статьи и привести таблицы, которые покажут, насколько анализатор может быть полезен. Мы не можем в статье доказать абсолютную достоверность всех расчётов, но думаем, читатель согласится с нашими размышлениями, и это поможет принять решение в вопросе приобретения лицензии.
Читать дальше →
Total votes 41: ↑38 and ↓3 +35
Views 3.7K
Comments 30