cwe

  • ХабрахабрФото Системы классификации и оценки уязвимостей информационных систем: какие они бывают и зачем нужны

    Системы классификации и оценки уязвимостей информационных систем: какие они бывают и зачем нужны

    В отчете по результатам пентеста каждой уязвимости присваивается определенный класс опасности. Это не субъективная оценка, она основывается на общепринятых методиках. О них сегодня и поговорим. Расскажем, как принято классифицировать и оценивать уязвимости информационных систем и объясним, зачем это нужно. Что такое уязвимости и чем они отличаются от угроз   Многие путают эти понятия, а разница есть. Угрозы в ИБ — это…

    Читать далее »
  • ХабрахабрФото CWE Top 25 2022. Обзор изменений

    CWE Top 25 2022. Обзор изменений

    Список CWE Top 25 отражает наиболее серьёзные недостатки безопасности ПО. Предлагаю вам ознакомиться с обновлённым топом в обзоре изменений за прошедший год. Мы позиционируем анализатор PVS‑Studio не только как средство для поиска ошибок в коде, но и как инструмент для статического тестирования защищённости приложений (Static Application Security Testing, сокр. SAST). Для лучшего понимания трендов и планирования диагностических правил нет ничего…

    Читать далее »
  • ХабрахабрФото Безопасность REST API от А до ПИ

    Безопасность REST API от А до ПИ

    Введение Умение реализовать грамотное REST API — полезный навык в наше время, т.к. все больше сервисов предоставляют свои возможности с помощью API. Но разработка REST API не ограничивается реализацией HTTP запросов в определенном стиле и формированием ответов в соответствии со спецификацией. Задача обеспечения безопасности REST API не так очевидна, как, например, обеспечение безопасности баз данных, но ее необходимость не менее…

    Читать далее »
  • ХабрахабрФото Статический анализатор кода PVS-Studio как защита от уязвимостей нулевого дня

    Статический анализатор кода PVS-Studio как защита от уязвимостей нулевого дня

    Угроза нулевого дня (англ. zero day) – это термин, обозначающий уязвимости, допущенные при разработке, которые еще не были обнаружены. Такие уязвимости могут использоваться злоумышленниками, что в итоге затронет и репутацию компании. Перед разработчиками стоит задача максимально сократить количество дефектов в коде, которые могут стать причиной такой уязвимости. Одним из инструментов, помогающих выявить дефекты безопасности, является статический анализатор кода PVS-Studio для…

    Читать далее »
  • ХабрахабрФото Бесплатный PVS-Studio для тех, кто развивает открытые проекты

    Бесплатный PVS-Studio для тех, кто развивает открытые проекты

    В канун празднования нового 2019 года команда PVS-Studio решила сделать приятный подарок всем контрибьюторам open-source проектов, хостящихся на GitHub или Bitbucket. Им предоставляется возможность бесплатного использования статического анализатора PVS-Studio для развития открытых проектов.Мы помогаем делать код открытого программного обеспечения более качественным и надёжным. Хотя, благодаря нашим публикациям, в открытых проектах было исправлено более 10000 ошибок, этого явно недостаточно. Наша команда…

    Читать далее »
  • ХабрахабрФото Стреляем в ногу, обрабатывая входные данные

    Стреляем в ногу, обрабатывая входные данные

    Связующее звено сегодняшней статьи отличается от обычного. Это не один проект, для которого был проведён анализ исходного кода, а ряд срабатываний одного и того же диагностического правила в нескольких разных проектах. В чём здесь интерес? В том, что некоторые из рассмотренных фрагментов кода содержат ошибки, воспроизводимые при работе с приложением, а другие – и вовсе уязвимости (CVE). Кроме того, в…

    Читать далее »
  • ХабрахабрФото Релиз PVS-Studio 6.26

    Релиз PVS-Studio 6.26

    Обычно мы не пишем заметки про выход новой версии анализатора PVS-Studio. Однако в новый релиз вошло много интересных изменений, касающихся анализа C и C++ кода, о которых хочется рассказать нашим пользователям. Скоро Java Если честно, самые последние и интересные нововведения в PVS-Studio пока всё ещё скрыты. Я имею в виду поддержку в анализаторе языка Java. Пока ещё нет публичной beta-версии…

    Читать далее »
  • ХабрахабрФото Проверили с помощью PVS-Studio исходные коды Android, или никто не идеален

    Проверили с помощью PVS-Studio исходные коды Android, или никто не идеален

     Разработка больших сложных проектов невозможна без использования методологий программирования и инструментальных средств, помогающих контролировать качество кода. В первую очередь, это грамотный стандарт кодирования, обзоры кода, юнит-тесты, статические и динамические анализаторы кода. Всё это помогает выявлять дефекты в коде на самых ранних этапах разработки. В этой статье демонстрируются возможности статического анализатора PVS-Studio по выявлению ошибок и потенциальных уязвимостей в коде…

    Читать далее »
  • ХабрахабрФото PVS-Studio как SAST решение

    PVS-Studio как SAST решение

    До недавнего времени в своих статьях мы позиционировали PVS-Studio как инструмент для выявления ошибок в коде. При этом мы почти не рассматривали PVS-Studio в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения тестирования защищённости приложений и DevSecOps практик.PVS-Studio является средством статического тестирования защищённости приложений (Static Application Security Testing, SAST). Другими словами, анализатор PVS-Studio выявляет…

    Читать далее »
  • ХабрахабрФото Chromium: утечки памяти

    Chromium: утечки памяти

    Предлагаем вашему вниманию цикл статей, посвященных рекомендациям по написанию качественного кода на примере ошибок, найденных в проекте Chromium. Это третья часть, которая будет посвящена утечкам памяти.Я считаю, что код проекта Chromium и используемые в нём библиотеки очень высокого качества. Да, в вводной статье я писал про 250 ошибок, но на самом деле — это очень маленькое число. В силу законов…

    Читать далее »


Кнопка «Наверх»