Комментарии 5
Добрый день!
Сейчас по сути на рынке статического анализа инструментарий, пригодный по требованиям ФСТЭК, это PVS и Svace. Прокомментируйте возможность сравнения этих инструментов для "чистых" проектов в части автоматизации. Интересует в первую очередь устранение тех ошибок, которые находят оба анализатора вместе. Ну и в целом отличия в срабатываниях (прямо вижу диаграмму Венна).
PVS-Studio не ориентируется на ФСТЭК. Svace ориентирован на ФСТЭК. Актуален ФСТЭК - берите Svace.
Тут больше вопрос не в ориентации, а в конечной цели. Глобально - сделать конечный продукт более безопасным с т.з. устранения потенциальных уязвимостей. А для этого все средства хороши, но при этом людской ресурс в части разметки найденных срабатываний не безграничен. И хотелось бы начать с тех дефектов, которые одинаково вызывают недоверие сразу у нескольких анализаторов.
Если цель - максимальная безопасность, то можно использовать сразу два инструмента. Если хочется упростить работу с разными анализаторами, то подойдёт такой агрегатор как SonarQube. Тогда с выводами разных инструментов можно работать единообразно и в одном месте. PVS-Studio поддерживает SonarQube. По поводу Svace - не могу сказать. Подробнее про интеграции с SonarQube разных инструментов: https://pvs-studio.com/ru/blog/video/10067/
И все-таки мы советуем не пытаться использовать сразу два инструмента. Некоторые наши клиенты так делают, но они пришли к этому сознательно, постепенно и за годы. Если вы будете пытаться внедрять сразу два инструмента, то велика вероятность, что ни одно внедрение не будет завершено.
Как выбрать инструмент статического анализа