Эксперимент по выявлению уязвимостей

Эксперимент по выявлению уязвимостей

Сообщение tori » 10 апр 2017, 10:21

Эксперимент по выявлению уязвимостей во FreeBSD при помощи PVS-Studio (реклама)
Разработчики PVS-Studio, коммерческого статического анализатора кода на языках C, C++ и C#, опубликовали результаты инициативы по проверке кода FreeBSD с целью выявления потенциальных уязвимостей. В итоге было найдено 56 ошибок, которые вероятно могут привести к проблемам с безопасностью. Проверка при помощи автоматизированного инструмента не заняла много времени, что позволило обнаружить все эти ошибки лишь за один субботний вечер.

Всего в коде выявлено 22 ошибки, которые могут привести к проблемам из-за разыменования нулевого указателя, а также ошибки вызванные некорректным использованием sizeof() с указателями, использованием неинициализированных переменных, некорректным указанием размера буфера, неверной организацией проверки индекса массива, подозрительным использованием разделителей в блоках кода, наличием неиспользуемых переменных, всегда ложными или истинными логическими выражениями, удалением компилятором кода для очистки буферов и т.п.

Для некоторых из выявленных проблем разработчиками PVS-Studio подготовлены исправления, которые были переданы через систему отслеживания ошибок bugs.freebsd.org. Так как для некоторых из ошибок проблематично подготовить исправления, не вдаваясь в суть алгоритмов и особенностей ОС, разработчикам FreeBSD предлагается провести самостоятельную более подробную проверку кода, для чего команда PVS-Studio готова предоставить ключ для полноценной проверки, а также помочь в отсеивании ложных срабатываний
tori
Молчаливый гость
Молчаливый гость
 
Автор темы
Сообщений: 15
Стаж: 7 месяцев 13 дней
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Эксперимент по выявлению уязвимостей

Спонсор

Спонсор
 

Re: Эксперимент по выявлению уязвимостей

Сообщение Olej » 10 апр 2017, 10:50

tori писал(а):

Разработчики PVS-Studio, коммерческого статического анализатора кода на языках C, C++ и C#, опубликовали результаты инициативы по проверке кода FreeBSD с целью выявления потенциальных уязвимостей. В итоге было найдено 56 ошибок, которые вероятно могут привести к проблемам с безопасностью. Проверка при помощи автоматизированного инструмента не заняла много времени, что позволило обнаружить все эти ошибки лишь за один субботний вечер.

Вообще то, это далеко не первый раз, и всё, что связано с PVS-Studio - это скорее бла-бла-бла и халява, чем что-то, что заслуживает разговора.
PVS-Studio - это статический анализатор кода, и всё, что он обнаруживает - это потенциальные ошибки кода, которые никак не тянут за собой "потенциальных уязвимостей".
Но PVS-Studio продать никак и никому не могут, вот и буровят...
Точно по анекдоту:
Цитата:
- Вон едет Неуловимый Джо...
- Что, такой крутой? Никто поймать не может?
- Нет. Просто никому ни на хрен не нужен...

:D
Olej
 
Стаж: 47 лет 10 месяцев 17 дней


Вернуться в Новости из мира Linux

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron