PVS-Studio, Тула - Статический анализ кода для C, C++, C# и Java / Посты / Хабр

Блог компании PVS-StudioИнформационная безопасность * Анализ и проектирование систем * Управление разработкой * Управление проектами *

РБПО по ГОСТ Р 56939—2024: вебинар №06 из 30 – Разработка, уточнение и анализ архитектуры программного обеспечения

Прошёлся сегодня по использованию вайб-кодинга без соответствующих мер контроля результата – Ревью вайб-кода с гнильцой, который притворяется оптимизированным С++ кодом. А теперь продолжим тему, как создавать качественные, надёжные и безопасные приложения. Это всё, кстати, актуально и для веб-кодинга, но, к сожалению, пока мало кто это осознаёт :(

Компания ООО "ПВС" совместно с учебным центром "Маском" провела цикл вебинаров, посвящённых разработке безопасного программного обеспечения (РБПО). Совместно с приглашёнными экспертами различных компаний мы рассмотрели 25 процессов, приведённых в ГОСТ Р 56939—2024.

Предлагаем сегодня вашему вниманию вебинар цикла, посвящённый процессу, описанному в разделе 5.6. – "Разработка, уточнение и анализ архитектуры программного обеспечения". Слайды.

Цели шестого процесса по ГОСТ Р 56939—2024:

5.6.1.1 Создание условий для снижения количества возможных недостатков при разработке архитектуры ПО.
5.6.1.2 Уточнение архитектуры ПО в процессе разработки кода.

Общее количество вебинаров — 30: каждому из 25 процессов ГОСТа посвящено по одному вебинару и 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

21 апр в 07:262.3K

Тимлид: ожидания, реальность и внутренние вопросы

Быть тимлидом — это не только про процессы и задачи, но и про людей, ожидания и собственные сомнения.

На прошедшем вебинаре поговорили о том, кто такой менеджер в IT и зачем он вообще нужен, как выстраивать взаимодействие с командой, с какими ловушками сталкиваются новые лидеры и как не потерять себя.

Посмотреть вебинар можно и на этих площадках:

Следите за анонсами следующих вебинаров в нашем канале!

Блог компании PVS-StudioИнформационная безопасность * Системы управления версиями * Управление разработкой * Управление продуктом *

19 апр в 09:382.7K

РБПО по ГОСТ Р 56939—2024: вебинар №05 из 30 – Управление недостатками и запросами на изменение программного обеспечения

Предлагаем сегодня вашему вниманию вебинар цикла, посвящённый процессу, описанному в разделе 5.5. – "Управление недостатками и запросами на изменение программного обеспечения". Слайды.

Цели пятого процесса по ГОСТ Р 56939—2024:

5.5.1.1 Обеспечение управления недостатками ПО.
5.5.1.2 Обеспечение управления запросами на изменение ПО.

AleksandraUvarova

17 апр в 10:092.8K

Блог компании PVS-StudioПрограммирование * Компиляторы * Терминология IT

Как устроен компилятор?

Мы каждый день пишем код, но часто воспринимаем компилятор как "чёрный ящик". Сегодня приоткроем завесу тайны над работой компилятора, расскажем о его жизненном цикле и объясним, на каком этапе в игру вступают деревья.

Под капотом скрывается целый конвейер, который включает в себя построение дерева, оптимизацию и генерацию кода. Мы разобрали все этапы на конкретных примерах и написали статью для тех, кто хочет понять, как работает компилятор.

17 апр в 06:451.9K

Зачем тестировщику нужна безопасность? Обсудили на прошедшем вебинаре!

Вместе с Семеном Ремезовым, Senior QA в компании “Гринатом”, разобрали, как мануальному тестировщику начать работать с безопасностью без узкой специализации в ИБ:

какие базовые навыки нужны
как находить уязвимости на практике
что делать с найденными проблемами
как повысить свою ценность на рынке

Также обсудили, как стандарты и ГОСТы влияют на вашу работу (даже если вы этого не замечаете) и к чему стоит готовиться дальше.

Посмотреть можно ещё тут:
- Наш сайт
- Rutube
- YouTube

Блог компании PVS-StudioИнформационная безопасность * IT-стандарты * Управление проектами * Подготовка технической документации *

15 апр в 07:541.7K

РБПО по ГОСТ Р 56939—2024: вебинар №04 из 30 – Управление конфигурацией программного обеспечения

Предлагаем сегодня вашему вниманию вебинар цикла, посвящённый процессу, описанному в разделе 5.4. – "Управление конфигурацией программного обеспечения". Слайды.

Цели четвёртого процесса по ГОСТ Р 56939—2024:

5.4.1.1 Осуществление уникальной идентификации ПО, документации на ПО, других элементов, подлежащих отслеживанию в рамках управления конфигурацией ПО (элементов конфигурации).

5.4.1.2 Контроль реализации изменений ПО, документации на ПО, других элементов, подлежащих отслеживанию в рамках управления конфигурацией ПО (элементов конфигурации).

P.S. При разработке регламента идентификации ПО (версий ПО, модулей ПО) можно оттолкнуться от ГОСТ 19.103—77 "Единая система программной документации. Обозначение программ и программных документов".

Блог компании PVS-StudioИнформационная безопасность * IT-стандарты * Управление разработкой * Управление проектами *

13 апр в 07:172.7K

РБПО по ГОСТ Р 56939—2024: вебинар №03 из 30 – Формирование и предъявление требований безопасности к программному обеспечению

Предлагаем сегодня вашему вниманию вебинар цикла, посвящённый процессу, описанному в разделе 5.3. – "Формирование и предъявление требований безопасности к программному обеспечению". Слайды.

Цели третьего процесса по ГОСТ Р 56939—2024 (п. 5.3.1.1):

Обеспечение безопасности ПО посредством предъявления к нему требований и управления требованиями в процессе изменения (разработки) ПО.

Блог компании PVS-StudioИнформационная безопасность * IT-стандарты * Управление проектами * Законодательство в IT

11 апр в 08:52354

РБПО по ГОСТ Р 56939—2024: вебинар №02 из 30 – Обучение сотрудников

Предлагаем вашему вниманию сегодня вебинар цикла, посвящённый процессу, описанному в разделе 5.2. – "Обучение сотрудников". Слайды.

Общее количество вебинаров — 30: каждому из 25 процессов ГОСТа посвящено по одному вебинару и 5 записано дополнительно на смежные темы. Я буду публиковать по два вебинара в неделю, чтобы было время знакомиться с ними.

Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Поскольку рассматриваем процесс обучения, хочется напомнить, что учебный центр "Маском" предлагает ряд курсов по тематике РБПО:

М БРПО-Спец. Специалист по процессам разработки безопасного программного обеспечения. 200 часов / 20 дней.
М БРПО-01. Внедрение процессов разработки безопасного программного обеспечения в организации (для руководителей и ответственных). 40 часов/4 дня.
М БРПО-02. Внедрение процессов разработки безопасного программного обеспечения для специалистов по информационной безопасности. 50 часов/5 дней.
М БРПО-03. Сертификационные испытания с учётом требований по разработке безопасного программного обеспечения для экспертов органов по сертификации (испытательных лабораторий) различных систем сертификации средств защиты информации. 140 часов/14 дней.
М БРПО-04. Формирование практических навыков по разработке безопасного программного обеспечения для разработчиков и программистов. 140 часов/14 дней.
М БРПО-05. Методология подготовки предприятия к сертификации процессов безопасной разработки программного обеспечения средств защиты информации в соответствии с требованиями ФСТЭК России. 30 часов/3 дня.

Вы узнаете много полезной информации из вебинаров, которые я здесь публикую. Однако есть смысл подумать и о прохождении обучающих курсов.

Вебинары – это теория. На курсах вы получите практические навыки, знакомясь с продуктами лидеров рынка РФ по РБПО.
УЦ "Маском" имеет лицензию на учебную деятельность и право давать официальный документ о повышении квалификации и прохождении профессиональной переподготовки.
Официальный документ об обучении требуется для экспертов органов/лабораторий в системах сертификации ФСТЭК России и Минобороны России.
Программа М БРПО-Спец "Специалист по процессам разработки безопасного ПО" (200 часов/20 дней) официально согласована с ФСТЭК России.
Человеческий фактор. Не все сотрудники достаточно мотивированы самостоятельно глубоко изучить тему РБПО. Курсы станут поводом выделить на это время.

P.S. В конце не могу не упомянуть про курс "ПВС СТАТ" – Статический анализ программного обеспечения в соответствии с требованиями ГОСТ Р 71207–2024 с применением PVS-Studio. 30 часов/3 дня.

9 апр в 07:142K

РБПО по ГОСТ Р 56939—2024: вебинар №01 из 30 – Планирование процессов РБПО

Предлагаем вашему вниманию сегодня первый вебинар цикла, посвящённый первому процессу, описанному в разделе 5.1. – "Планирование процессов разработки безопасного программного обеспечения". Слайды.

Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Polina_Alekseeva

1 апр в 10:282.4K

А какой у тебя RPG-класс? Пройди наш квиз, чтобы узнать :)

Трудовые будни каждого разработчика рано или поздно превращаются в рутину, даже если поначалу новоиспечённому джуну всё кажется непривычным и увлекательным. Со временем эффект новизны исчезает, уверенность растёт вместе с грейдом, и очередное код-ревью уже воспринимается не как захватывающее испытание, а как привычная часть рабочего процесса. Узнаёте себя? Нет?

А что, если взглянуть на повседневную разработку под другим, более увлекательным углом? В конце концов, «что наша жизнь? Игра!». С таким подходом каждый проект может стать настоящим приключением. А какое приключение обходится без отважных героев, готовых сражаться с монстрами-багами? Вы тоже среди этих храбрецов, даже если раньше об этом не задумывались.

Неважно, являетесь ли вы поклонником настольных или компьютерных ролевых игр, вам наверняка знакомы классические архетипы: маги, воины, плуты и другие. Предлагаем ненадолго отвлечься от рутины: ответьте на несколько нескучных вопросов и примерьте на себя роль одного из семи героев! В конце вас также ждёт подарочек, который поможет в будущих битвах с багами.

1 апр в 06:252.4K

Механизмы в SAST-решениях для выявления дефектов из OWASP Top Ten

На вебинаре вместе с Лукой Сафоновым, лидером российского отделения консорциума OWASP, разобрали OWASP Top Ten. Поговорили о том, почему так важно проверять исходный код на наличие потенциальных уязвимостей и как с этой задачей помогают справляться SAST-инструменты. А также рассмотрели механизмы, которые позволяют выявлять потенциальные уязвимости и дефекты безопасности.

Статья "OWASP Top 10 2025 — от кода к цепочке поставок: расширение границ безопасности"

AlanSupp

31 мар в 09:322.6K

Блог компании PVS-StudioJava * C++ * C * C# *

Бывший коллега, который учил меня программировать, когда я только-только устроилась в PVS-Studio, пять лет назад написал статью о технической поддержке и о том, как от неё не выгорать. За это время структура работы поддержки в нашей компании сильно изменилась, поэтому пора обновить информацию.

В новой статье вы сможете увидеть путь поддержки PVS-Studio за последние пять лет: развитие отделов, внутренних инструментов, а также кейсы клиентов СВД ВС и Eltex.

A-G-B

30 мар в 14:193.6K

Всё, что нужно знать для начала работы в PVS-Studio

Статический анализатор PVS-Studio — это инструмент для поиска ошибок в коде на протяжении всего жизненного цикла проекта.
В новой статье разберём основные особенности анализатора PVS-Studio, сценарии и варианты анализа, а также узнаем всё, что нужно знать для начала работы с инструментом.

30 мар в 13:022.3K

Как повысить эффективность команды разработки? Узнайте в вебинаре!

Поговорили о системном управлении, автоматизации и инструментах, которые реально экономят время и ресурсы.

Столяров Альфред Игоревич, директор компании EvApps, рассказал «Почему увеличение штата не работает». Он разобрал, почему масштабирование через наём часто оказывается иллюзией, где на самом деле находятся узкие места в разработке и как выстроить систему управления, основанную на процессах и данных, а не на интуиции.

Филатов Валерий, DevAdvocate в PVS-Studio, пояснил «Как статический анализ может сэкономить время команды разработки». Речь пойдёт о том, как правильно внедрять и автоматизировать статический анализ, сокращать время проверки кода, настраивать уведомления и использовать агрегирующие дашборды, чтобы инструмент ускорял процесс, а не становился дополнительной нагрузкой.

Приятного просмотра!

27 мар в 07:351.8K

Инструменты для разработчиков игр и не только

Недавно провели крутой вебинар про GameDev вместе с экспертами из Forgotten Empires и Playrix. Мы разобрали, какие инструменты входят в арсенал GameDev-команд, зачем они нужны и почему профилировщики играют ключевую роль в разработке. А бонусом — показали, как превратить ваш код в настоящий город.

Кстати, мы PVS-Studio уже в город превращали. Почитать про это можно по ссылке!

25 мар в 13:372K

Статический анализ кода в методическом документе ЦБ РФ “Профиль защиты”.

На прошедшем вебинаре обсуждали изменения в Профиле защиты прикладного ПО, требования к инструментам статического анализа кода, а также роль ГОСТ Р 56939—2024 и ГОСТ Р 71207—2024 при реализации требований безопасности в финансовых организациях.

Примечание. По окончании вебинара был задан вопрос о сертификации средств статического анализа. В качестве ответа уместно привести цитату из статьи “Итоги этапа «Домашнее задание» испытаний статических анализаторов под патронажем ФСТЭК России”:

«Важно отметить, что в настоящий момент ФСТЭК России не предъявляет каких-либо специальных требований к инструментам статического анализа, на соответствие которым возможно проводить сертификационные испытания инструментов. Как следствие, любые требования заказчиком наличия сертификата ФСТЭК России на инструмент статического анализа являются его частной инициативой (подробнее — в эфире канала AMLive, выпуск «Как встроить безопасность в процесс разработки ПО: практика, ошибки, решения»).»

23 мар в 12:202.1K

Системный аналитик часто превращается в дорогого «секретаря», который фиксирует решения постфактум, создаёт артефакты, которыми никто не пользуется, и почти не влияет на результат. Ценность роли падает, багов в проде много, а внутри скребут кошки.

На вебинаре «Как системному аналитику уйти от документирования к проектированию» разобрали, как: перестать быть документистом, обрести ментальное здоровье, приносить реальную пользу команде и улучшать продукт, одновременно сокращая время на работу.

Спикеры:

Филипп Хандельянц (Руководитель разработки статических анализаторов, PVS-Studio).
За 9-летнюю историю в компании PVS-Studio прошёл путь от разработчика-джуна до руководителя отделов разработки статических анализаторов. Сам того не ведая, стал ещё неявно выполнять работу системного аналитика.

Владимир Бурмистров (Главный системный аналитик, IT-холдинг Т1). 18 лет в IT. Прошёл путь от автоматизации бухгалтерии и производств, до финтеха. Автор курсов и преподаватель. Может без ИИ найти информацию как в интернете, так и в библиотеке.

19 мар в 13:161.9K

Блог компании PVS-StudioGo *

Вы тимлид или руководитель команды разработки? У нас есть классный материал для вас!

Ещё в начале года мы сделали крутой вебинар «Тимлидами рождаются или становятся: базовые настройки руководителя» с двумя сильными экспертами:

Инна Пристягина (руководитель отдела развития, PVS‑Studio) рассказала «Что должен уметь тимлид». Инна разобрала, как в PVS‑Studio на практике проходит путь развития тимлида: от первых задач до построения годового родмапа для команды. Она поделилась инструментами, с которыми тимлид так или иначе знакомится в своей работе.
Владимир Куропятник (руководитель отделов обучения, тренер и консультант руководителей) рассказал про то, каким должен быть «Руководитель: базовые принципы и первые шаги». Владимир поделился, как регулярность, предсказуемость, смелость и развитие людей помогают строить систему управления с повторяемыми результатами. А ещё разобрал конкретные приёмы, которые может взять любой руководитель и применить сразу в своей работе.

Приятного просмотра! Ждем ваши комментарии!

GoshariqChan

11 мар в 07:322K

^ != <<

Знаете ли вы, что некоторые используют оператор '^' для возведения в степень? Хотя в ряде языков он действительно отвечает за возведение в степень, во многих популярных стеках разработки этот оператор выполняет операцию исключающего ИЛИ (XOR). Мы разберём, к каким последствиям приводит подобная путаница, и покажем реальный пример этой ошибки в механизме работы очереди внутри популярной библиотеки.