О, необычно было увидеть комментарий под статьёй более чем 10-летней давности! :)
PVS-Studio на данный момент большое B2B инструментальное средство для компаний. Анализатор совместим с ГОСТ Р 71207–2024 и может использоваться для построений процессов разработки безопасного ПО (ГОСТ Р 56939-2024). Индивидуальных лицензий нет (см. история CppCat).
Это устоявшееся мнение, но... у лабораторий и клиентов есть успешный опыт сертификации с использованием PVS-Studio :). Тем, кому интересна эта тема или есть вопросы, просим обращаться в поддержу или по телефону +7(903)844-02-22
Спасибо, что затронули эту интересную тему. Дело в том, что всё сложнее, чем кажется. ГОСТ Р 71207–2024 описывает методику проверки требований к статическому анализатору, но есть нюансы. Эта задача как бы остаётся на пользователях и сертификационных лабораториях. Они должны провести сложные исследования на различных наборах тестов, чтобы определить, что анализатор выявляет все типы критических ошибок, используя все необходимые технологии.
Это очень ресурсоёмкая задача, требующая глубокой экспертизы в сфере анализа кода. Получается, что пользователям самостоятельно всесторонне проверить анализаторы очень дорого и сложно. Или оценка будет носить недостоверный характер.
По идее такое исследование под силу разработчику статического анализатора, но тогда встаёт вопрос о предвзятости и достоверности испытаний. Нет и сторонних исследований и до недавнего времени не было понятно, как их организовать.
Описанное выше, кстати, чуть более подробно я и другие участники рабочей группы изложили в публикации "Испытания статических анализаторов" – мой комментарий в разделе "ПВС (участник испытаний)".
Там, в смысле в ГОСТ? В стандарте про то, как правильно использовать методологию статического анализа кода и о том, что должны уметь делать инструментальные средства.
Ну что мы всё неправильно делаем, нам уже лет 15 рассказывают :) Вспомнились старые времена: Народ против PVS-Studio: дубль первый :)
Вебинар 4. Управление конфигурацией программного обеспечения.
Вебинар 5. Управление недостатками и запросами на изменение программного обеспечения.
Вебинар 6. Разработка, уточнение и анализ архитектуры программного обеспечения.
Некоторые уточнения про список критических ошибок, а заодно, как их фильтровать: Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024)
Продолжение:
Испытания статических анализторов (стр. 72)
Итоги этапа «Домашнее задание» испытаний статических анализаторов под патронажем ФСТЭК России
Мой комментарий про этам "Домашнее задание"
Продолжение истории про жизнь ГОСТ Р 71207—2024:
ФСТЭК России объявила о начале масштабных испытаний статических анализаторов
Испытания статических анализторов (стр. 72)
Итоги этапа «Домашнее задание» испытаний статических анализаторов под патронажем ФСТЭК России
Мой комментарий про этам "Домашнее задание"
Собрали не в PDF, а в бумажную книгу "Экскурс в неопределенное поведение C++". Можно найти в offline и online магазинах.
Переработанный и дополненный вариант этой подборки про UB стал доступен в виде бумажной книги. Подробнее.
Совпадение (а может и нет :). Вот какую статью мы сегодня опубликовали - PVS-Studio доступен в OpenIDE.
Запись третьего вебинара - Процесс 3: Формирование и предъявление требований безопасности к программному обеспечению.
Запись второго вебинара - Процесс N2: Обучение сотрудников.
О, необычно было увидеть комментарий под статьёй более чем 10-летней давности! :)
PVS-Studio на данный момент большое B2B инструментальное средство для компаний. Анализатор совместим с ГОСТ Р 71207–2024 и может использоваться для построений процессов разработки безопасного ПО (ГОСТ Р 56939-2024). Индивидуальных лицензий нет (см. история CppCat).
Возможно, вам подойдёт вариант бесплатного лицензирования для открытых проектов или образовательная лицензия.
От теории к практике :)
Вот что получается, когда не думаешь о безопасной разработке и статическом анализе кода - Необходимость статического анализа для РБПО на примере 190 багов в TDengine
Завершение цикла публикаций про TDengine - Необходимость статического анализа для РБПО на примере 190 багов в TDengine.
Завершение цикла публикаций про TDengine - Необходимость статического анализа для РБПО на примере 190 багов в TDengine.
Завершение цикла публикаций про TDengine - Необходимость статического анализа для РБПО на примере 190 багов в TDengine.
Это устоявшееся мнение, но... у лабораторий и клиентов есть успешный опыт сертификации с использованием PVS-Studio :). Тем, кому интересна эта тема или есть вопросы, просим обращаться в поддержу или по телефону +7(903)844-02-22
Спасибо, что затронули эту интересную тему. Дело в том, что всё сложнее, чем кажется. ГОСТ Р 71207–2024 описывает методику проверки требований к статическому анализатору, но есть нюансы. Эта задача как бы остаётся на пользователях и сертификационных лабораториях. Они должны провести сложные исследования на различных наборах тестов, чтобы определить, что анализатор выявляет все типы критических ошибок, используя все необходимые технологии.
Это очень ресурсоёмкая задача, требующая глубокой экспертизы в сфере анализа кода. Получается, что пользователям самостоятельно всесторонне проверить анализаторы очень дорого и сложно. Или оценка будет носить недостоверный характер.
По идее такое исследование под силу разработчику статического анализатора, но тогда встаёт вопрос о предвзятости и достоверности испытаний. Нет и сторонних исследований и до недавнего времени не было понятно, как их организовать.
На помощь пришла ФСТЭК. ФСТЭК России объявила о начале масштабных испытаний статических анализаторов. Однако пока рано рассуждать о соответствии инструментов стандарту. Сейчас только разрабатывается сама методология испытаний статических анализаторов.
Описанное выше, кстати, чуть более подробно я и другие участники рабочей группы изложили в публикации "Испытания статических анализаторов" – мой комментарий в разделе "ПВС (участник испытаний)".
Наша команда считает, что "PVS-Studio соответствует требованиям ГОСТ Р 71207—2024 (статический анализ программного обеспечения)". Но формально всем приходится писать "разрабатывается с учётом требований", "полная совместимость с ГОСТ" (так про Svace пишут) и т.д. :)
Там, в смысле в ГОСТ? В стандарте про то, как правильно использовать методологию статического анализа кода и о том, что должны уметь делать инструментальные средства.
Краткий обзор можно посмотреть в докладе: https://vkvideo.ru/video-11805870_456239505
Следующая публикация: Учимся рефакторить код на примере багов в TDengine, часть 3: плата за лень.
Продолжение:
Учимся рефакторить код на примере багов в TDengine, часть 2: макрос, пожирающий стек
Учимся рефакторить код на примере багов в TDengine, часть 3: плата за лень