[SafeCode Live] Принципы статического анализа кода

— Сегодня в разработке ПО не обходятся без функционального тестирования — так проверяют качество конечного продукта. Наравне с этим всё чаще применяют подходы к анализу кода на уязвимости, обеспечивая комплексную оценку надежности ПО. Один из ключевых инструментов проверки на надежность — статический анализатор кода. В этом выпуске разбираемся, где и почему применяют подобные инструменты, и какие у них есть особенности. Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта. Участники обсуждают: — назначение статических анализаторов; — типы и алгоритмы анализа; — уровень качества, которые обеспечивают подходы к анализу кода; — ложноположительные и ложноотрицательные срабатывания; — контекстные особенности при анализе разных языков программирования; — способы сравнения SAST-инструментов. Гости: — Андрей Белеванцев, ведущий научный сотрудник Института системного программирования им. В.П. Иванникова РАН. Занимается статическим анализом, участвует в разработке анализатора Svace. — Алексей Смирнов, основатель системы композиционного анализа CodeScoring. Специализируется на обработке текстовых данных в контексте анализа исходных кодов. — Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies. Эксперт по безопасности приложений. Ведущий: Сергей Деев, эксперт по кибербезопасности в МТС RED. Выпуск также доступен в аудиоформате на Apple Podcasts [ССЫЛКА], Яндекс Музыке [ССЫЛКА] и ВКонтакте [ССЫЛКА] Полезные материалы — Статистика от Positive Technologies — Статья с описанием принципов статического анализа ИСП РАН #appsec #softwaredevelopment