#анализатор_кода

0 posts0 participants0 posts today

HabrВ преддверии испытаний статических анализаторов под руководством ФСТЭК РоссииВ 2024 году вышел ГОСТ Р 71207 — Статический анализ программного обеспечения. Однако пользователям анализаторов сложно определять, насколько тот или иной инструмент соответствует критериям, изложенным в стандарте. Поэтому ФСТЭК России в 2025 году организует испытания статических анализаторов, результаты которых будут опубликованы в конце года. Ближайший этап — это выработка критериев оценки, и я решил предварительно изложить некоторые мысли по этой теме, которые, возможно, будут интересны жюри и участникам.<a href="https://habr.com/ru/companies/pvs-studio/articles/883556/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/pvs-studio/articles/883556/</a><a href="https://zhub.link/tags/pvsstudio" class="mention hashtag" rel="tag">#pvsstudio</a> <a href="https://zhub.link/tags/%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7_%D0%BA%D0%BE%D0%B4%D0%B0" class="mention hashtag" rel="tag">#статический_анализ_кода</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80_%D0%BA%D0%BE%D0%B4%D0%B0" class="mention hashtag" rel="tag">#анализатор_кода</a> <a href="https://zhub.link/tags/SAST" class="mention hashtag" rel="tag">#SAST</a> <a href="https://zhub.link/tags/static_code_analysis" class="mention hashtag" rel="tag">#static_code_analysis</a> <a href="https://zhub.link/tags/%D1%84%D1%81%D1%82%D1%8D%D0%BA" class="mention hashtag" rel="tag">#фстэк</a> <a href="https://zhub.link/tags/%D1%84%D1%81%D1%82%D1%8D%D0%BA_%D1%80%D0%BE%D1%81%D1%81%D0%B8%D0%B8" class="mention hashtag" rel="tag">#фстэк_россии</a> <a href="https://zhub.link/tags/%D0%B3%D0%BE%D1%81%D1%82_%D1%80_712072024" class="mention hashtag" rel="tag">#гост_р_712072024</a> <a href="https://zhub.link/tags/%D0%93%D0%9E%D0%A1%D0%A2" class="mention hashtag" rel="tag">#ГОСТ</a> <a href="https://zhub.link/tags/%D1%81%D0%B8" class="mention hashtag" rel="tag">#си</a> <a href="https://zhub.link/tags/%D1%81%D0%B8" class="mention hashtag" rel="tag">#си</a>++ <a href="https://zhub.link/tags/c" class="mention hashtag" rel="tag">#c</a> <a href="https://zhub.link/tags/cpp" class="mention hashtag" rel="tag">#cpp</a> <a href="https://zhub.link/tags/csharp" class="mention hashtag" rel="tag">#csharp</a> <a href="https://zhub.link/tags/java" class="mention hashtag" rel="tag">#java</a> <a href="https://zhub.link/tags/%D0%BA%D1%80%D0%B8%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0" class="mention hashtag" rel="tag">#критическая_ошибка</a>

HabrПишем свои диагностические правила для анализатора SvaceПривет Хабр! Меня зовут Владислав Столяров, я руковожу группой анализа безопасности продуктов в компании МойОфис. Полгода назад я узнал, что в статическом анализаторе Svace можно создавать собственные диагностические правила. Это показалось мне очень любопытным. В статье я хочу поделиться своим неоднозначным опытом и рассказать о попытке реализовать такую кастомную диагностику. Но обо всём по порядку.<a href="https://habr.com/ru/companies/ncloudtech/articles/870618/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/ncloudtech/articles/870618/</a><a href="https://zhub.link/tags/svace" class="mention hashtag" rel="tag">#svace</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80" class="mention hashtag" rel="tag">#анализатор</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80_%D0%BA%D0%BE%D0%B4%D0%B0" class="mention hashtag" rel="tag">#анализатор_кода</a> <a href="https://zhub.link/tags/%D0%B4%D0%B8%D0%B0%D0%B3%D0%BD%D0%BE%D1%81%D1%82%D0%B8%D0%BA%D0%B0" class="mention hashtag" rel="tag">#диагностика</a>

HabrСинтаксический анализатор — модифицированный Shunting YardАлгоритм синтаксического анализа кода на основе Shunting Yard — скажем "нет" рекурсии Преимущество модифицированного Shunting Yard над рекурсивным спуском заключается в его способности эффективно работать с более сложными синтаксическими конструкциями и грамматиками, которые не поддерживаются рекурсивным спуском. Благодаря использованию стеков для управления состояниями и операторами, алгоритм избегает проблем с глубокой рекурсией и может обрабатывать конструкции, требующие динамического изменения контекста. Это делает его более универсальным и производительным решением для построения абстрактного синтаксического дерева (AST) без ограничений на тип грамматик, характерных для рекурсивного спуска.<a href="https://habr.com/ru/articles/844252/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/articles/844252/</a><a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80_%D0%BA%D0%BE%D0%B4%D0%B0" class="mention hashtag" rel="tag">#анализатор_кода</a> <a href="https://zhub.link/tags/%D0%BF%D0%B0%D1%80%D1%81%D0%B5%D1%80" class="mention hashtag" rel="tag">#парсер</a> <a href="https://zhub.link/tags/%D0%BA%D0%BE%D0%BC%D0%BF%D0%B8%D0%BB%D1%8F%D1%82%D0%BE%D1%80" class="mention hashtag" rel="tag">#компилятор</a> <a href="https://zhub.link/tags/%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BF%D1%80%D0%B5%D1%82%D0%B0%D1%82%D0%BE%D1%80" class="mention hashtag" rel="tag">#интерпретатор</a> <a href="https://zhub.link/tags/%D0%B0%D0%BB%D0%B3%D0%BE%D1%80%D0%B8%D1%82%D0%BC" class="mention hashtag" rel="tag">#алгоритм</a> <a href="https://zhub.link/tags/shunting_yard" class="mention hashtag" rel="tag">#shunting_yard</a> <a href="https://zhub.link/tags/%D0%B4%D0%B5%D0%B9%D0%BA%D1%81%D1%82%D1%80%D0%B0" class="mention hashtag" rel="tag">#дейкстра</a> <a href="https://zhub.link/tags/ast" class="mention hashtag" rel="tag">#ast</a> <a href="https://zhub.link/tags/abstract_syntax_tree" class="mention hashtag" rel="tag">#abstract_syntax_tree</a>

HabrНикому нельзя верить на слово в безопасной разработке, или Еще один взгляд на SCAЗахожу я в английский клуб. Там все сидят, выпивают, в карты играют. Смотрю — в очко режутся! Сел я за столик, взял карты. У меня — 18. А мой соперник говорит: «20». Я ему: «Покажи!». А он мне: «Мы, джентльмены, верим друг другу на слово». И вот тут-то мне поперло . Но в ИБ так не пройдет, нужна здоровая паранойя. Поэтому на слово не верим никому, в том числе и инструментам анализа, а сначала их проверяем. Читать<a href="https://habr.com/ru/companies/pt/articles/808023/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/pt/articles/808023/</a><a href="https://zhub.link/tags/cybersecurity" class="mention hashtag" rel="tag">#cybersecurity</a> <a href="https://zhub.link/tags/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%B0%D1%8F_%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0" class="mention hashtag" rel="tag">#безопасная_разработка</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80_%D0%BA%D0%BE%D0%B4%D0%B0" class="mention hashtag" rel="tag">#анализатор_кода</a> <a href="https://zhub.link/tags/ci" class="mention hashtag" rel="tag">#ci</a>/cd <a href="https://zhub.link/tags/sca" class="mention hashtag" rel="tag">#sca</a> <a href="https://zhub.link/tags/%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C" class="mention hashtag" rel="tag">#уязвимость</a> <a href="https://zhub.link/tags/appsec" class="mention hashtag" rel="tag">#appsec</a> <a href="https://zhub.link/tags/%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F" class="mention hashtag" rel="tag">#приложения</a> <a href="https://zhub.link/tags/log4shell" class="mention hashtag" rel="tag">#log4shell</a> <a href="https://zhub.link/tags/devsecops" class="mention hashtag" rel="tag">#devsecops</a>

HabrПлагины IDE — простой способ войти в безопасную разработку. Без регистрации и СМСРазработчики используют плагины каждый день, и их функциональность призвана упростить разработку, например, автоматически проверять проставление всех специальных символов (таких как «;», «:») или соблюдение синтаксиса. Они буквально были созданы для того, чтобы разработчики прямо во время написания кода могли осуществить его проверку на уязвимости и сразу исправлять их, не выходя из IDE. Давайте разберемся, какие бывают плагины и как с ними работать? Читать<a href="https://habr.com/ru/companies/pt/articles/796295/" target="_blank" rel="nofollow noopener noreferrer" translate="no">https://habr.com/ru/companies/pt/articles/796295/</a><a href="https://zhub.link/tags/%D0%BA%D0%BE%D0%B4" class="mention hashtag" rel="tag">#код</a> <a href="https://zhub.link/tags/%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8" class="mention hashtag" rel="tag">#уязвимости</a> <a href="https://zhub.link/tags/%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F" class="mention hashtag" rel="tag">#приложения</a> <a href="https://zhub.link/tags/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%B0%D1%8F_%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0" class="mention hashtag" rel="tag">#безопасная_разработка</a> <a href="https://zhub.link/tags/devsecops" class="mention hashtag" rel="tag">#devsecops</a> <a href="https://zhub.link/tags/devops" class="mention hashtag" rel="tag">#devops</a> <a href="https://zhub.link/tags/%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80_%D0%BA%D0%BE%D0%B4%D0%B0" class="mention hashtag" rel="tag">#анализатор_кода</a> <a href="https://zhub.link/tags/ide" class="mention hashtag" rel="tag">#ide</a> <a href="https://zhub.link/tags/sast" class="mention hashtag" rel="tag">#sast</a> <a href="https://zhub.link/tags/dast" class="mention hashtag" rel="tag">#dast</a>

Recent searches

Search options

Administered by:

Server stats:

#анализатор_кода