Как стать автором
Обновить

Кембридж: особенность компиляторов позволяет добавлять в исходный код вредоносы и обходить ручной аудит

Информационная безопасность *Компиляторы *Исследования и прогнозы в IT *

Исследователи Кембриджского университета описали способ вставки в исходный код программ уязвимости или вредоносного кода, который позволяет успешно проходить ручной аудит. Фактически, они рассказали о методе атак, который использует особенность компиляторов.

Читать далее
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 1.9K
Комментарии 2

Новая услуга: регулярный аудит Си/Си++ кода

Блог компании PVS-Studio C++ *
PVS-Studio, аудит кода

До недавнего времени мы занимались исключительно развитием и продажей продукта PVS-Studio. Потом мы подумали и решили предлагать новую услугу: регулярный аудит кода. Про неё я и расскажу. Статья предназначена для менеджеров и тимлидов. Дабы не портить себе настроение и не минусовать, программистов прошу статью не читать.
Я руковожу программистами и готов читать дальше
Всего голосов 99: ↑67 и ↓32 +35
Просмотры 16K
Комментарии 31

Проведение аудита CSS: Таблицы стилей не должны быть ужасными

Блог компании PAYSTO CSS *
Перевод
Когда мы начинаем работу над существующей базой кода, в первую очередь нужно провести аудит CSS. Основной вред от плохо организованных и запущенных CSS-таблиц заключается в замедлении процесса разработки, так как команде разработчиков приходится пробираться через дебри кода, и в нерабочем сайте, в случае если неверно определенные селекторы становятся причиной коллизий и наложения стилей.

Такой аудит помогает оценить, насколько хорошо организованы CSS-таблицы проекта, насколько соответствует конвейер, отвечающий за их оценку и сборку, современным требованиям, а также насколько хорошо структурирована и дисциплинирована команда, занимающаяся написанием CSS. Здесь перечислены некоторые шаги, которые можно использовать для проведения собственного аудита CSS:
Читать дальше →
Всего голосов 8: ↑5 и ↓3 +2
Просмотры 12K
Комментарии 1

Комментарий к «Как попасть на дачу президента в пять часов утра»

Блог компании PVS-Studio Информационная безопасность *
Было бы странно, заниматься поиском ошибок в программах и при этом пройти мимо этой статьи.

Хочу оставить ряд комментариев. Основной их смысл, что это не похоже на страшные закладки. Мне этот код больше напоминает какой-то тестовый прототип, а не готовое приложение. Так что возможно не всё так страшно, как преподносит автор в статье. Во-первых, код содержит ошибку и случайные числа используются всегда. В реальности мимо такого вряд ли прошли в процессе тестировании системы. А во-вторых, существует такое понятие как «сертификация программ». И приведенный фрагмент кода — первый кандидат на обнаружение.
Читать дальше →
Всего голосов 75: ↑47 и ↓28 +19
Просмотры 28K
Комментарии 26

Проверяем код динамического анализатора Valgrind с помощью статического анализатора

Блог компании PVS-Studio Информационная безопасность *C *Разработка под Linux *
Дружба статического и динамического анализаСразу скажу, что статья пишется вовсе не для того, чтобы показать, что статический анализ работает лучше, чем динамический. Такое утверждение будет неверным, так же, как и обратное. Инструменты статического и динамического анализа дополняют друг друга, а не конкурируют между собой. У тех, и у тех есть сильные и слабые стороны. Некоторые ошибки не могут обнаруживать динамические анализаторы, а некоторые — не могут найти статические. Поэтому, следует отнестись к этой заметке просто, как к очередной демонстрации возможностей PVS-Studio, а не как к сравнению двух методологий.
Читать дальше →
Всего голосов 35: ↑28 и ↓7 +21
Просмотры 9K
Комментарии 27

27000 ошибок в операционной системе Tizen

Блог компании PVS-Studio C++ *Системное программирование *C *Разработка под Tizen *
PVS-Studio and Tizen

Эта статья продемонстрирует, что при разработке крупных проектов статический анализ кода является не просто полезным, а совершенно необходимым элементом процесса разработки. Я начинаю цикл статей, посвященных возможности использования статического анализатора кода PVS-Studio для повышения качества и надежности операционной системы Tizen. Для начала я проверил небольшую часть операционной системы (3.3%) и выписал около 900 предупреждений, указывающих на настоящие ошибки. Если экстраполировать результаты, то получается, что наша команда способна выявить и устранить в Tizen около 27000 ошибок. По итогам проведённого исследования я подготовил презентацию, которая предназначалась для демонстрации представителям Samsung и была посвящена возможному сотрудничеству. Встреча перенесена на неопределённый срок, поэтому я решил не тратить время и трансформировать материал презентации в статью. Запасайтесь вкусняшками и напитками, нас ждёт длинный программистский триллер.
Читать дальше →
Всего голосов 85: ↑70 и ↓15 +55
Просмотры 32K
Комментарии 108

Защита репозиториев на GitHub от вредоносных коммитов

Информационная безопасность *Open source *GitHub *
Перевод
Mozilla старается защитить свои репозитории на GitHub от вредоносных изменений. Как показал недавний инцидент с Gentoo, такие атаки реальны.


Первоначально Mozilla использовала GitHub как запасной хостинг. Подобно Gentoo, оригинальные репозитории хранились на собственной инфраструктуре. И хотя большая часть кода Firefox по-прежнему распространяется с собственной инфраструктуры, но многие проекты существуют только на GitHub. Некоторые — просто эксперименты, а другие используются в продакшне (например, Firefox Accounts). Такие «чувствительные» репозитории нужно защищать от вредоносных правок, при этом не усложняя коммиты для нормальных людей.
Всего голосов 20: ↑20 и ↓0 +20
Просмотры 9.4K
Комментарии 1

Все люди не умеют писать код

Блог компании Конференции Олега Бунина (Онтико) Python *Совершенный код *Управление разработкой *
В преддверии Moscow Python Conf ++ мы поговорили с Никитой Соболевым, CTO компании «Мы делаем сервисы», о глобальной проблеме управления сложностью кода в разрезе развития языков программирования. А также о том, почему тут со временем ситуация становится только хуже. Плюс расспросили, зачем ему потребовалось создавать собственный линтер.


Читать дальше →
Всего голосов 77: ↑58 и ↓19 +39
Просмотры 33K
Комментарии 55