Сергей Талантов — С++ и безопасность: правда ли все так плохо?

Ближайшая конференция: С Russia 2024, 24 мая (online), 2–3 июня (offline, Москва) Подробности и билеты: — — Сергей проанализировал недавний отчет NSA и рассказал, так ли плохо обстоят дела с безопасностью в С на самом деле и что современная индустрия предлагает для решения этого вопроса. Он разобрал проблемы с безопасностью в С на открытых примерах из Chromium, среди которых: — работа с памятью; — UB; — C legacy, строки, арифметика, преобразования типов. Спикер также показал различные подходы к митигации описанных проблем, в частности: — статический анализ; — динамический анализ; — фаззинг-тестирование; — харденинг; — выделение безопасных подмножеств языка: Misra, AUTOSAR, стандарт Google; — методология SDL как комплексное решение; — (бонус) подход KasperskyOS по определению недоверенных компонентов, допускающих наличие уязвимостей, но без возможности их проэксплуатировать и развить атаку. Скачать презентацию с сайта C Russia — #cpp #security