Конференция завершена. Ждем вас на TechLead Conf в следующий раз!

Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности

Про security

#C/C++
#Безопасность программного кода, SQL и прочие инъекции

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Внедрение SAST для обеспечения безопасности часто наталкивается на проблему непонимания, как именно работает инструмент. В докладе объясняются принципы работы на примерах без привязки к производителю.

Тезисы

С использованием SAST-решений как чёрного ящика более или менее всё понятно — установили baselining, включили нужные чекеры и прочие необходимые настройки. Актуальные предупреждения правим, false positives давим.

Но что происходит "за кулисами", прежде чем анализатор выдаст предупреждение о дефекте безопасности? Работа с синтаксисом, семантикой, data-flow, taint checking — как всё это помогает искать те или иные проблемы?

В ходе доклада мы приоткроем эту завесу. Ответим на обозначенные выше вопросы, разберём примеры реальных дефектов безопасности и того, как SAST-решения их обнаруживают и с какими проблемами могут сталкиваться в ходе работы.

Head of DevRel в PVS-Studio LLC. Занимается разработкой одноимённого статического анализатора более 6 лет. За это время успел поработать над C++ и C#-анализаторами, а также в отделе Tools & DevOps. Параллельно пишет статьи о тонкостях C#, .NET.

PVS-Studio

Компания занимается разработкой собственного продукта — статического анализатора PVS-Studio, выявляющего ошибки и дефекты безопасности в коде на языках C, C++, C#, Java.

Видео