Я подготовил большую подборку материалов, посвящённую разработке безопасного программного обеспечения. Она будет подспорьем всем, кто задумывается над совершенствованием процессов разработки в команде/компании.

Основой для материалов стало рассмотрение 25-проецеессов, описанных в ГОСТ Р 56939—2024.

ГОСТ Р 56939—2024 — Разработка безопасного программного обеспечения. Введён в действие 20.12.2024 взамен версии 2016 года.

Также подборка материалов пригодится всем, кто уже столкнулся или предвидит, что столкнётся с такими сущностями, как приказ ФСТЭК №117, сертификация, методический документ «Профиль защиты» ЦБ РФ и т. д. Все они связаны с ГОСТ Р 56939—2024.

Разработка безопасного программного обеспечения (РБПО) по ГОСТ Р 56939—2024

В основу легли 25 основных и 5 дополнительных вебинаров, проведённых компанией «ПВС» совместно с учебным центром «Маском». Суммарное время — около 50 часов. Вебинары можно смотреть на ускорении, но даже в этом случае, с учётом дополнительных материалов, изучение займёт около двух рабочих недель чистого времени. На практике рекомендуем заложить на ознакомление месяц, так как будет сложно сохранить внимание, если изучать материалы непрерывно.

P.S. С ростом применения вайб-кодинга построение процессов РБПО станет не менее, а более важным. Первое очарование пройдёт и пропадёт необоснованное доверие к сгенерированному коду. Сопровождение и развитие большого объёма кода невозможны без процессов проектирования, ревью, анализа и т. д. Более подробно я описал это в недавней заметке «Ревью вайб-кода с гнильцой, который притворяется оптимизированным С++ кодом».

Перемещено hobbit из security

Что вы знаете и думаете про ГОСТ Р 56939-2024 и РБПО? Скорее всего, ничего, да и, может, не собираетесь узнавать :) Однако 1% читателей зацепился взглядом за эти слова. Для них и предназначается этот текст.

В конце 2024 года на замену ГОСТ Р 56939-2016 вышел его новый вариант. Команда PVS-Studio отчасти связана с этим стандартом, так как мы закрываем один из процессов, описанных в стандарте. Думаю, вы уже догадались, что это статический анализ исходного кода (п. 5.10).

Поскольку информации про новый стандарт пока мало, мы решили провести цикл вебинаров и других активностей, посвящённых теме РБПО.

Например, недавно в вебиаре с экспертом SECURITM мы поговорили о том, как можно разложить новый ГОСТ «на составные части» и постепенно закрывать их. То есть как начать внедрять РБПО и как управлять эти процессом (см. «Внедрение процессов безопасной разработки. Интеграция PVS-Studio и SGRC SECURITM»).

На подходе новый вебинар «Регулярный статический анализ по ГОСТу», где компания ИНСЕК расскажет про новый продукт InSeq RBPO — систему непрерывной интеграции и развёртывания программного обеспечения. Приглашаю присоединиться.

Будут и другие аналогичные вебинары. Кстати, если у вас есть желание посотрудничать аналогичным образом (провести семинар, подкаст и т.д.), то напишите нам. Мы открыты к сотрудничеству.

И последнее: я начал большой цикл публикаций в Telegram, посвящённый РБПО и ГОСТ Р 56939-2024. Приглашаю подписаться всех, кто хочет постепенно знакомиться с этой темой и разбираться в ней. Заодно там будет анонс и других мероприятий (вебинаров) по этой теме.

Предлагаю вашему вниманию две бесплатные электронные книги. Первая написана мной: «Вредные советы для C++ программистов» (PDF-формат). Это переработанный под печать вариант «60 антипаттернов для С++ программиста». Если вы уже читали 60 антипаттернов, то, пожалуй, читать новый вариант смысла нет. А если нет, то рекомендую — это и возможность местами улыбнуться, и польза.

Теперь про вторую книгу: «Путеводитель C++ программиста по неопределённому поведению». Здесь я был редактором, автор: Дмитрий Свиридкин. Книга опубликована частями, ссылки на которые приведены ниже. Сейчас Дмитрий перерабатывает материал под книжное издание, но это отдельная история.

1. Часть 1: предисловие, что такое неопределённое поведение, и как оно проявляется, сужающие преобразования и неявное приведение типов.
2. Часть 2: переполнение целых знаковых чисел, числа с плавающей точкой, integer promotion, char и знаковое расширение.
3. Часть 3: висячие ссылки, string_view, синтаксический сахар с ложкой дёгтя (range-based for), self-reference, std::vector и инвалидация ссылок.
4. Часть 4: списки захвата лямбда-функций, кортежи, внезапная мутабельность, неявные ссылки, use-after-move, lifetime extension.
5. Часть 5: Most Vexing Parse, неконстантные константы, семантика перемещения, std::enable_if_t против std::void_t, забытый return.
6. Часть 6: эллипсис и функции, operator [], iostreams (счастливой отладки!), оператор запятая, function-try-block, типы «нулевого» размера.
7. Часть 7: NULL-терминированные строки, std::shared_ptr, (не)явное приведение типов, как передать стандартную функцию и ничего не сломать.
8. Часть 8: бесконечные циклы и проблема остановки, рекурсия, ложный noexcept, переполнение буфера.
9. Часть 9: (N)RVO vs RAII, разыменование нулевых указателей, static initialization order fiasco, static inline, нарушение ODR, зарезервированные имена.
10. Часть 10: тривиальные типы и ABI, неинициализированные переменные, С++20 unbounded ranges, невиртуальные виртуальные функции, VLA.
11. Часть 11: невалидные указатели, placement new для массивов, data race, повторный захват mutex, сигнало(не)безопасность, как сделать всё правильно и уйти в deadlock.
12. Часть 12: std::vector::reserve и std::vector::resize, невыровненные ссылки, время жизни и смерти, статический анализ и UB, заключение.

И последнее: если пропустили, в конце 2024 года, как всегда, вышла подборка про самые интересные из найденных нами багов: Топ-10 ошибок в C и C++ проектах за 2024 год.

1 апреля 2024 года введён стандарт, устанавливающий общие требования к внедрению и выполнению статического анализа ПО. Стандарт разработан ФСТЭК России и ИСП РАН и входит в комплекс документов, направленных на предотвращение уязвимостей в программах. Возможно, кто-то знает про ГОСТ Р 56939 (Разработка безопасного ПО), где, в частности, говорится про необходимость использования динамических и статических анализаторов кода. Так вот, новый ГОСТ Р 71207–2024 теперь формализует, что, собственно, такое статический анализ кода.

Команда PVS-Studio не могла оставить без внимания этот документ. Мы его изучили, так как разумно привести какие-то элементы анализатора в соответствие с ним. Например, поставлена задача выделить группу диагностик, выявляющих ошибки, которые по ГОСТу считаются критическими. Выяснилось, что наши аннотации не позволяют задавать процедуры-источники/стоки чувствительных данных (это анализ помеченных данных). В ближайшем релизе добавим.

Поскольку мы погрузились в эту тему, то решили про неё, как говорится, научно-популярно порассказывать. Во-первых, не каждый готов читать ГОСТ. Во-вторых, там достаточно высокая сложность и плотность повествования. Некоторые моменты без знания предметной области, с большой вероятностью, могут остаться недопонятыми. А мы будем неспешно рассказывать с примерами и пояснениями.

Уже состоялись два из пяти вебинаров: «Общее описание и актуальность» и «Терминология». С ними можно познакомиться здесь. Следующий мы проведём 9 августа в 12:00 по Москве: «ГОСТ Р 71207–2024 — Статический анализ программного обеспечения. Критические ошибки» (страница регистрации).

Приходите послушать, задать вопросы. Если не знаете, готовы ли слушать цикл, и хочется составить общее впечатление про стандарт и про то, о чём мы рассказываем, предлагаю послушать вот этот доклад. Там про то же самое, но поверхностно и без подробностей (невозможно такую тему в 35 минут уместить) :)

Ещё полезное для C++ разработчиков:

Совместно с Servicepipe 8 августа мы будем проводить бесплатный совместный митап «В чём сила C++, Брат?» Приглашаем поучаствовать и подискутировать. Осталось некоторое количество offline-мест, плюс можно поучаствовать в online-формате. От нас будет Филипп Хандельянц (C++ Team Lead) с темой «Разрушители мифов: С++ уже не торт».

Дмитрий Свиридкин под моей редакцией готовит и публикует у нас в блоге главы из цикла «Путеводитель C++ программиста по неопределённому поведению». Приходите постепенно читать и восхищаться глубиной глубин C++. Предполагаем, что материал будет ещё раз переработан и свёрстан в виде печатной книги. Но это уже другая история.

Команда PVS-Studio проводит конкурс прикольных/глупых/страшных ошибок на языке C++ (можно и C). Наверняка на практике у вас было что-то эпичное и интересное. Приглашаю поделиться. Самые «лучшие» ошибки мы соберем в статью, при условии, что их наберётся достаточное количество. А чтобы было интереснее, опишите историю бага.

Узнать детали и поучаствовать здесь: https://pvs-studio.ru/ru/blog/contest/

Дата окончания: 30 декабря 2023 года.

P.S. Отберём 10 участников с самыми интересными случаями и отправим им в подарок – мою бумажную книгу «Вредные советы для C++ программистов». Это переработанный и расширенный вариант «60 антипаттернов для С++ программиста». Если хотите, поставлю подпись. Я же знаю, что здесь есть мои почитатели ;)

Постоянно писать «как делать правильный код» надоедает. Поэтому для разнообразия и развлечения написал мини-книгу «60 антипаттернов для С++ программиста». Этакие вредные советы в духе «Книга для непослушных детей и их родителей».

На самом деле там, не только вредные советы, но и разбор почему они собственно вредны. Будет полезно почитать новичкам в программировании. Думаю, каждый знает кого-то, кому будет полезно почитать этот материал :). Впрочем, опытные программисты тоже смогут найти интересное для себя и узнать/освежить знания про некоторых тонкие моменты C++.

Там много букв. Приглашаю запастись кофе/энергетиком и приступать. Буду рад обсуждениям и дополнениям, основанном на вашем опыте.

Ещё я этот текст переработал для бумажного издания. Оно в подготовке для печати. Смысл там в целом тот же, но пришлось многое переделать или расписать подробнее. Ведь нельзя в бумажной книге дать 100500 ссылок на сторонние ресурсы «читать здесь про xxx подробнее». Надеюсь, успеем напечатать к осенним конференциям и будем раздавать на стенде, например по кодовым словам. Приходите на стенд и говорите, что с linux.org.ru и что там на тему бумажной книги :)

Парочка вредных советов для примера:

• Пишите ваши .h-файлы так, чтобы они зависели от других заголовков, и при этом не включайте их в свой заголовочный файл. Пусть тот, кто инклудит, догадается, какие заголовки нужно заранее заинклудить перед использованием вашего файла. Развлеките коллег квестами!
• Пишите код так, как будто его будет читать председатель жюри IOCCC и он знает, где вы живёте (чтоб приехать и вручить вам приз).

P.S. PDF (yandex.ru), если кому-то так удобнее.

На сайте PVS-Studio повился новый раздел — Мероприятия для программистов.

Здесь мы каждую неделю обновляем список конференций и других мероприятий по тематикам: C#, C++, DevOps, JS, GameDev, IT-стартапы, тестирование и так далее.

Возможно, вы сталкивались с тем, что затруднительно узнать, а какие, собственно, конференции можно посетить в этом году. Мы точно сталкивались. Есть разные списки, агрегаторы, но они весьма разрозненные или заброшенные. Поэтому мы решили сами собирать мероприятия для разработчиков. Думаем, этот список окажется многим интересным и полезным.

Конференции можно фильтровать по странам (или наоборот выбрать онлайн-варианты), типу, теме. Приятного ознакомления. Если мы пропустили что-то важное, дайте знать, будем добавлять. Заранее спасибо.

>>> Подробности (pvs-studio.ru)

Год подходит к концу, и наша команда выложила всякое разное развлекательного характера. Думаю, это как раз то самое, чем можно будет развлечь себя в последнюю пятницу уходящего года. Ой, не говорите, что вы всю пятницу будете самоотверженно трудиться.

Итак, что есть интересного:

Классические статьи, завершающие год: самые примечательные ошибки, найденные нами в открытых проектах.

• Топ-10 ошибок в C++ проектах за 2022 год

• Топ-10 ошибок в C# проектах за 2022 год

Квиз «Спаси Рождество от багов». 8 вопросов, где описали рождественские истории багов в разных известных компаниях. Предстоит угадать, недостающую часть в описании.

Если вы уже приняли шампанское и хочется совсем потупить, то попробуйте побить рекорд в игре «Рабочий день программиста».

А ещё можно попробовать быстро найти ошибку в C++ или C# (pvs-studio.com) коде. Это обновлённый вариант квиза, который существовал 100500 лет назад. Возродили и обновили.

С++ Новам Годом.

Приветствую C++ программистов. Вы серьёзны и суровы. Но уверен, что развлечения и юмор вам не чужды. Поэтому сегодня у меня для вас ссылки на необычные ресурсы.

Во-первых, я написал статью наоборот. Я всегда писал, как сделать C++ код лучше. В этот раз я перешёл на тёмную сторону. Предлагаю вашему вниманию "50 вредных советов для С++ программиста". Будьте ментально аккуратны. Там зло. Если что - я вас предупреждал :).

К сожалению, некоторые программисты не согласятся, что все советы в той или иной степени вредные. Поэтому я заранее написал пояснения к наиболее неоднозначным пунктам. Думаю, у каждого найдётся коллега, кому будет полезно всё это почитать :).

Приятного чтения!

Во-вторых, мы возродили квест по быстрому нахождению ошибок и опечаток в C++ коде. Возможно, кто-то помнит, что несколько лет назад мы уж делали подобную штуку. Мы учли недостатки интерфейса и надеемся, теперь попасть в ошибку будет проще.

Удачи: Челлендж от анализатора PVS-Studio: насколько вы внимательны?

К сожалению, всё равно иногда есть неоднозначность, куда же нажать. Сделать задания идеально однозначными не получается. Прошу сильно не заморачиваться и подойти к этому именно как к развлечению, а не экзамену.

Разработчики Chromium/Chrome опубликовали обстоятельный документ Safer Usage Of C++. Это план работ по доработке кода, подходов и инструментов, чтобы создавать более безопасный и надёжный код. Документ недавно активно обсуждался, например, на Reddit. Наша команда решила перевести этот документ на русский язык. Задача оказалась непростая, так как сам оригинал документа написан в, так сказать, свободном стиле. Вот что получилось: Безопасное использование C++. Там много отсылок на другие интересные статьи и проекты. Надеюсь будет занимательно. Приятного чтения.

PVS-Studio - это инструмент поиска ошибок в коде программ на языках C, C++, C#, Java. Начав свой путь с Windows систем, анализатор пришёл в мир Linux и macOS. Но до настоящего момента он всё-таки был не до конца адаптирован к этим экосистемах.

Не хватало сценариев интерактивной работы с анализатором: просто проверяешь код и сразу работаешь с отчётом, фильтруешь его и так далее. Конечно, можно интегрировать PVS-Studio, например, с SonarQube, но это всё равно не то.

Теперь ситуация изменилась. Вначале появился плагин PVS-Studio для Rider. Если кто-то из C# разработчиков пропустил это событие, то сейчас хороший момент сразу скачать плагин, чтобы потом не забыть попробовать проверить свои проекты :).

Следующий шаг нашей команды - первая бета-версия плагина PVS-Studio для CLion. Приглашаем всех желающих попробовать этот новый плагин. Ещё раз подчёркиваю, что это именно beta версия. Так что с большой вероятностью что-то может пойти не так :). Мы будем благодарны фидбеку и сообщениям о замеченных ошибках и недоработках (форма обратной связи).

Чтобы получить пробный ключ для анализатора, посетите страницу «Доступ к ранним версиям PVS-Studio». А здесь подробности про установку и прочее.

Попробуйте. Надеюсь, вам понравится оперативно находить баги.

Дополнительные ссылки:

1. Более подробно. Beta-тестирование плагина PVS-Studio для JetBrains CLion.
2. Документация. Работа PVS-Studio в JetBrains Rider и CLion.
3. Напоминаем, что существуют бесплатные варианты лицензирования PVS-Studio.

Всё больше пользователей C# анализатора PVS-Studio интересуются возможностью его использования для проверки C# кода на Linux и macOS. И сегодня у нас хорошие новости.

Мы ведём активные работы по портированию нашего C# анализатора на платформу .NET Core, а также занимаемся обеспечением его работоспособности на Unix’о-подобных ОС. В наших планах выпустить PVS-Studio C# для .NET Core на платформах Linux и macOS в конце апреля - первой половине мая 2020.

Мы планируем начать бета-тест в начале-середине апреля. Если вам интересно принять в нём участие, заполните эту форму: https://www.viva64.com/ru/pvs-studio-eap/

Когда beta тест стартует, мы вышлем вам инструкции по установке анализатора и пробную лицензию.