直到最近,在我们的文章中,我们将PVS-Studio定位为检测代码错误的工具。 同时,在安全性方面,我们几乎没有考虑过PVS-Studio。 让我们尝试解决这种情况,并从测试应用程序安全性和DevSecOps实践的角度看一下该工具。
PVS-Studio是用于静态应用程序安全测试(静态应用程序安全测试,SAST)的工具。 换句话说,PVS-Studio分析仪不仅检测错别字,无效代码和其他错误,而且还检测潜在的漏洞。
该工具可在Windows,Linux,macOS上运行,并分析C,C ++和C#中程序的代码。 计划到2018年底支持Java语言。
为方便将PVS-Studio用作SAST工具的专家使用,分析仪将显示有关
常见弱点枚举 ,
SEI CERT编码标准的警告,并且还支持
MISRA标准(当前正在实施)。
PVS-Studio
诊断程序符合各种标准的符合性表:
- CWE合规
- 合规SEI CERT
- MISRA支持(我们计划在2018年底之前实施)
SAST工具警报的最常见分类是常见弱点枚举(CWE)。 让我们看看,我使用CWE语言是因为PVS-Studio分析仪有助于防止漏洞。
如果我们转到著名的信息安全漏洞(
CVE )数据库,事实证明,程序漏洞的原因通常不是某些安全漏洞,而是常见的软件错误。 美国国家标准技术研究院(NIST)证实了这一点,指出64%的软件漏洞是由代码错误引起的。
正是这种错误有可能导致CWE中描述的漏洞。 因此,如果错误可以分类为CWE,则有可能被利用为漏洞,并最终填满CVE列表。 为了清楚起见,您可以使用渠道的图片:
有很多错误。 从安全的角度来看,其中一些是危险的,因此根据CWE分类。 可以利用某些CWE错误,它们是漏洞。
是的,实际上,发现的CWE错误中只有很小一部分是危险的并且是漏洞。 但是,如果您正在开发对安全性要求很高的应用程序并关心用户安全,则应非常认真地对待这些错误。 通过消除CWE错误,可以保护应用程序免受许多漏洞的侵害。
现在,错误,PVS-Studio与漏洞之间的关系变得显而易见。 PVS-Studio分析仪发现错误并将许多错误归为CWE。 通过更正这些错误,可以使您的应用程序更可靠。 在产品中发现漏洞可能会严重影响其声誉。 通过纠正分析器错误,可以在开发的最早阶段(编写代码)显着降低这种风险。
与其他任何工具一样,PVS-Studio分析仪也不保证代码中没有漏洞。 但是,如果PVS-Studio阻止了例如50%的潜在漏洞,那就太好了。
另外,我们建议您阅读文章“
PVS-Studio如何帮助发现漏洞? ”,该文章显示了导致漏洞的错误,如果在开发过程中使用PVS-Studio工具,则可以避免这些错误。
开始使用PVS-Studio作为SAST解决方案:
下载PVS-Studio 。