ГОСТ Р 56939-2024 – Разработка безопасного программного обеспечения (РБПО)

20 декабря 2024 года введён ГОСТ Р 56939-2024 взамен ГОСТ Р 56939—2016. Хотя уже прошло около полугода, не все про это знают, осознают это или как-то подстраиваются под произошедшие изменения :) А изменения есть, так как новый ГОСТ ориентирован на построение и контроль процессов, обеспечивающих цикл безопасной разработки в компании.

Несколько информационных моментов.

1. Цикл публикаций в моём канале "Бестиарий программирования" на тему РБПО

Я начинаю большой цикл публикаций в Telegram, посвящённый РБПО и ГОСТ Р 56939-2024. Приглашаю подписываться всех, кто хочет постепенно знакомиться с этой темой и разбираться в ней.

2. Вебинары РБПО-направленности

Мы уже провели совместно с другими компаниями два вебинара, связанных с ГОСТ Р 56939-2024:

1. Интеграция статического анализа и DevSecOps: PVS-Studio и AppSec.Hub в действии.

2. Внедрение процессов безопасной разработки. Интеграция PVS-Studio и SGRC SECURITM.

Приглашаем принять участие в следующем совместном с "ИНСЕК" вебинаре "Регулярный статический анализ по ГОСТу" (21 мая 12:00 по Москве), где они презентуют InSeq RBPO.

Приглашаем и другие компании к технологическому и/или информационному сотрудничеству. Напишите нам в поддержку или моему ассистенту.

3. Сертификация ФСТЭК

В последнее время нас спрашивают, подходит ли PVS-Studio для сертификации, и есть ли у нас сертификат ФСТЭК?

Для PVS-Studio нет сертификата ФСТЭК, так как он не нужен (для статических анализаторов процедура сертификации является добровольной).

PVS-Studio может использоваться как инструментальное средство статического анализа кода при построении процессов РБПО по ГОСТ Р 56939-2024.

PVS-Studio успешно применяется испытательными лабораториями, аккредитованными в системах сертификации средств защиты информации ФСТЭК России в рамках работ по сертификационным испытаниям программных продуктов, так как соответствует необходимым критериям (для заказчиков и сертификационных лабораторий мы подготовили информационное письмо):

• PVS-Studio включён в Реестр российского ПО (запись № 9837 от 18.03.2021);

• PVS-Studio удовлетворяет функциональным требованиям к инструментам статического анализа кода, описанным в Методическом документе "Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении" (издание второе, доработанное, утверждён ФСТЭК России 25 декабря 2020 г.);

• продукт разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207–2024.

Подробнее: Сертификация ФСТЭК. Если у вас есть вопросы, напишите нам в поддержку или позвоните по телефону +7(903)844-02-22.

Проблемы в работе плагина PVS-Studio для Visual Studio

Несколько пользователей сообщили нам, что в работе плагина PVS-Studio для Visual Studio версии 17.12 и выше происходят проблемы, не позволяющие запустить плагин. В этой заметке мы опишем проблему и предложим способы её решения.

У некоторых пользователей статического анализатора PVS-Studio при использовании плагина для интегрированной среды разработки Microsoft Visual Studio 2022 происходило завершение работы плагина, связанное с внутренней ошибкой. А на экране появлялся страшный список вызовов:

Exception message:

One or more errors occurred.

Exception type:

System.AggregateException

Stack:    at System.Threading.Tasks.Task.ThrowIfExceptional(Boolean includeTaskCanceledExceptions)

   at System.Threading.Tasks.Task.Wait(Int32 millisecondsTimeout, CancellationToken cancellationToken)

   at System.Threading.Tasks.Task.Wait()

   at ProgramVerificationSystems.PVSStudio.PVSStudio.InitializeErrorListWindow(Boolean isFromPackageLoadedEvent) in D:\\JenkinsProjects\\workspace\\proj_PVS_Setup_Docker\\WorkDir\\PVS-Studio\\PVS-Studio\\VsPkg.cs:line 2414

Inner Exception:

Exception message:

Exception from HRESULT: 0x80042007

Exception type:

System.Runtime.InteropServices.COMException



Stack: at Microsoft.VisualStudio.Shell.Interop.IVsShell5.LoadPackageWithContext(Guid& packageGuid, Int32 reason, Guid& context)
....

Возникновение этой ошибки обусловлено тем, что в версии Visual Studio 2022 17.12 был изменён API этой среды разработки для взаимодействия с плагинами. Поэтому в версии PVS-Studio 7.33 мы внесли необходимые изменения в плагин для Visual Studio, и на этой версии с указанной средой разработки анализатор работает корректно.

Следовательно, для решения этой проблемы есть следующие варианты:

• обновить анализатор PVS-Studio до версии 7.33 или выше;

• откатить версию среды разработки Visual Studio 2022 на предыдущую.

Если после выполнения указанных выше рекомендаций ситуация не решилась, или же вы столкнулись с другой проблемой при использовании нашего анализатора, не стесняйтесь сообщить нам о ней с помощью специальной формы на сайте. Мы приложим все возможные усилия, чтобы решить вашу проблему!

Если хотите поделиться этой статьей с англоязычной аудиторией, то прошу использовать ссылку на перевод: Valerii Filatov. Issues: PVS-Studio plugin for Visual Studio.

Использование статических анализаторов кода при разработке безопасного ПО

В апреле 2024 года вышел ГОСТ Р 71207-2024, посвящённый разработке безопасного программного обеспечения, а точнее использованию статических анализаторов в этом процессе. В данном вебинаре разберём, что этот стандарт регулирует, а также то, что нужно изменить в рабочем процессе, чтобы ему соответствовать.

Дата: 19 декабря 14:00

Регистрация по ссылке. Будем рады видеть каждого!

В этом вебинаре мы обсудили грамматические конструкции в С++ и как они работают. Мы поговорили о разных видах парсеров и о том, почему С++ сложно парсить. Мы также поделились некоторыми хитростями, позволяющими избежать чрезмерного замедления.

C# разработка и статический анализ: в чем практическая польза?

Многие C# разработчики знают, что статический анализатор кода — это полезная штука (или крутой инструмент?). Но какие проблемы он может выявить в реальности?

• Заметит незакрытую скобку?

• Укажет на плохое название или проблемы с код-стайлом?

• Выявит NRE или выход за границы массива?

• Или же он способен на что-то большее?

Узнаем в новом вебинаре, посвященном использованию статических анализаторов для проверки и улучшения C# проектов. Узнаем возможности инструмента на реальных примерах, его сильные и слабые стороны. А ещё разберём тему безопасной разработки, узнаем, способны ли выявлять анализаторы уязвимости и причём тут новый ГОСТ 71207.

18 ноября 14:00

Ссылка на регистрацию здесь.

Присоединяйтесь! Будем рады пообщаться!

Заключительный пятый вебинар, посвящённый статическому анализу кода с точки зрения ГОСТ Р 71207–2024.

Поговорим о процессах внедрения и выполнения статического анализа. Достаточно ли регулярно запускать анализатор, но не смотреть на отчёты? Конечно, нет. Хотя, к сожалению, такое встречается в жизни. Стандарт регламентирует, когда и кем предупреждения должны просматриваться, в какие сроки ошибки должны исправляться. Рассмотрим эти и другие аспекты регулярного использования статических анализаторов в процессе разработки ПО. Также затронем тему требования к методике проверки статических анализаторов на соответствие требованиям стандарта, актуальную для сертификационных лабораторий.

Когда?
13 сентября 14:00

Ссылка на регистрацию.

Присоединяйтесь! Будем рады каждому!

Друзья, совсем скоро состоится четвёртый из пяти вебинаров, посвящённых введённому в 2024 году ГОСТу Р 71207–2024.

Вебинар посвящён устройству статических анализаторов кода. Мы обсудим, как и какие виды анализов должен выполнять инструмент согласно ГОСТ, чтобы находить критические ошибки. Например, разберём, что такое контекстно-чувствительный анализ потока данных и какие баги он позволяет выявлять.

Вебинар пройдёт 23 августа в 14:00.

По этой ссылке можно зарегистрироваться. Также вам будут доступны записи предыдущих вебинаров :)

Будем рады видеть каждого! Всем чистого кода!

Вебинары PVS-Studio: Статический анализ кода по ГОСТ Р 71207–2024

1 апреля 2024 года введён стандарт, устанавливающий общие требования к внедрению и выполнению статического анализа ПО. Стандарт разработан ФСТЭК России и ИСП РАН и входит в комплекс документов, направленных на предотвращение уязвимостей в программах.

Команда PVS-Studio не могла оставить без внимания этот документ. Например, поставлена задача выделить группу диагностик, выявляющих ошибки, которые по ГОСТу считаются критическими.

Поскольку мы погрузились в эту тему, то решили про неё рассказать другим в научно-популярном виде.

Уже состоялись два из пяти вебинаров: "Общее описание и актуальность" и "Терминология". С ними можно познакомиться здесь. Следующий мы проведём 9 августа в 12:00 по Москве: "ГОСТ Р 71207–2024 — Статический анализ программного обеспечения. Критические ошибки". Зарегистрироваться можно тут.

Если не знаете, готовы ли слушать цикл, и хочется составить общее впечатление про стандарт и про то, о чём рассказываем, послушайте этот доклад.

И ещё для C++ разработчиков:

Совместно с Servicepipe 8 августа мы будем проводить бесплатный митап "В чём сила C++, Брат?". Филипп Хандельянц, C++ Team Lead PVS-Studio, выступит с темой "Разрушители мифов: С++ уже не торт". Приглашаем поучаствовать!