Статические анализаторы кода как DevOps решение
Недавно в Москве прошла конференция DevOpsForum 2019, и мне понравилось несколько докладов, которыми хотелось бы поделиться и немного написать про них.
Многие слышали или сталкивались со статическим анализом кода – процессом выявления ошибок и недочетов в исходном коде программ. Его репутация была существенно подпорчена старыми ненадежными инструментами.
Доклад Юрия Минаева, C++ программиста PVS-Studio, будет полезен тем, кто пробовал статические анализаторы, но ему не понравилось – а зря. Ведь статический анализ помогает обнаружить ошибки и уязвимости на ранних этапах разработки, где их исправление обходится дешевле всего.
Помимо статического анализа, конечно, есть и другие способы обнаружения уязвимостей: code review, юнит-тесты и динамический анализ. И понятное дело, что у каждого из них есть свои плюсы и минусы, о чем и будет подробно рассказано. Но речь пойдет именно о плюсах современных статических анализаторов и их возможностях: PVS-Studio, IntelliJ IDEA, Clang Static Analyzer, статический анализатор Visual Studio. Также будет рассказано об интеграции статического анализа в процесс сборки и об использовании SonarQube - платформы с открытым исходным кодом для непрерывного анализа и измерения качества кода. И если раньше вы не слышали про такие термины, как SAST, SEI CERT, MISRA, CWE и CVE, то не страшно – в докладе всё подробно объясняется на примерах.
Иван Пономарев, технический лидер в компании «КУРС», в своем докладе тоже рассказывает про статические анализаторы кода: как заставить анализаторы приносить пользу в вашем конвейере непрерывной интеграции, в том числе для старых и не использовавших ранее анализ проектов; ограничения анализаторов и их место в процессе непрерывной интеграции; "метод храповика" уменьшения количества находок статического анализа.
Доклад Юрия Минаева "Статические анализаторы кода как DevSecOps решение"
Доклад Ивана Пономарева "Непрерывный статический анализ"
Многие слышали или сталкивались со статическим анализом кода – процессом выявления ошибок и недочетов в исходном коде программ. Его репутация была существенно подпорчена старыми ненадежными инструментами.
Доклад Юрия Минаева, C++ программиста PVS-Studio, будет полезен тем, кто пробовал статические анализаторы, но ему не понравилось – а зря. Ведь статический анализ помогает обнаружить ошибки и уязвимости на ранних этапах разработки, где их исправление обходится дешевле всего.
Помимо статического анализа, конечно, есть и другие способы обнаружения уязвимостей: code review, юнит-тесты и динамический анализ. И понятное дело, что у каждого из них есть свои плюсы и минусы, о чем и будет подробно рассказано. Но речь пойдет именно о плюсах современных статических анализаторов и их возможностях: PVS-Studio, IntelliJ IDEA, Clang Static Analyzer, статический анализатор Visual Studio. Также будет рассказано об интеграции статического анализа в процесс сборки и об использовании SonarQube - платформы с открытым исходным кодом для непрерывного анализа и измерения качества кода. И если раньше вы не слышали про такие термины, как SAST, SEI CERT, MISRA, CWE и CVE, то не страшно – в докладе всё подробно объясняется на примерах.
Иван Пономарев, технический лидер в компании «КУРС», в своем докладе тоже рассказывает про статические анализаторы кода: как заставить анализаторы приносить пользу в вашем конвейере непрерывной интеграции, в том числе для старых и не использовавших ранее анализ проектов; ограничения анализаторов и их место в процессе непрерывной интеграции; "метод храповика" уменьшения количества находок статического анализа.
Доклад Юрия Минаева "Статические анализаторы кода как DevSecOps решение"
Доклад Ивана Пономарева "Непрерывный статический анализ"