19 сентября 2016 г.

Про анализаторы кода

UPD: Отличная аналитика от PT SDLC : ожидания, требования и предпочтения отечественных разработчиков затмевающая мой пост.

https://npo-echelon.ru/production/65/10920
http://www.ptsecurity.ru/products/ai/
http://www.viva64.com/ru/pvs-studio/
http://solarsecurity.ru/products/solar_inCode/
http://www.infowatch.ru/products/appercut

Они самые, только про них не слышно особо ничего.

Тема на самом деле навеяна мне из siem направления.Из opensource их части.Это когда используются горы открытых компонентов.

Из всех вот этих анализаторов слышу практически про всех, кроме Infowatch Appercut ну и Эшелон.Популярные тематические ресурсы читаю, на официальные сайты захаживаю.И лишь у одного вижу проверку различных opensource проектов и соответственно контрибьют в сторону разработчиков.PVS-Studio.Всё.У остальных как отрезало.
Ну это не значит, что контрибьюта нет как такового.В рамках внутренних и продуктовых линеек этих вендоров вероятно есть.Открытого, что-то нет.У PVS-Studio посты вроде как и рекламно-маркетинговые, но всё же поделу, по практике.Мы проверили то то и то то, результаты, контрибьют.

И неясно есть толк от этого класса продуктов или нет.

Я в общем не программист, но в голову закрадываются очевидные мысли.По поводу того что анализатор кода в общем-то необходим постоянно в плане того, что разовая проверка покажет ошибки и их поправят, и не гарантирует, того что эти же ошибки не появятся в будущем в тех же или других местах.Так сказать от разработчиков для разработчиков.

Интересно мысли приходят, также в свете последних утёкших эксплойтов EquationGroup.Обладают ли подобными средствами EquationGroup(и другие) и те кто стоит за ними.Ну state sponsored, то вероятно да.Какой результат внедрения анализаторов кода в SDLC?Помогает ли он избежать ну или уменьшить количество потенциальных уязвимостей?А что если работает по обе стороны баррикад?

PT респект за доклады и мероприятия по безопасному программированию.Если бы был программистом, то точно участвовал в них.
PVS-Studio респект за посты и контрибьют.Да и вобще как бы за отличный подход.

Вероятно очевидные моменты, что всё стоит денег.И данные продукты разработаны и в них вложены деньги.Никто не говорит, что данные компании плохие.Просто в контексте наличия исходных кодов(популярных, важных) с одной стороны и подобных продуктов с другой наблюдается какая-то тишина что ли.Но это так мнение со стороны.
Tags: , , , , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)