Запись вебинара "Оптимизация игр". Вместе с экспертами из игровых студий — Forgotten Empires и Playrix — поговорили о тонкостях работы с памятью, кастомных аллокаторах, а также способах ускорить запуск мобильных игр.
3 месяца назад
Разработка безопасного программного обеспечения
26
подписчиков
Начинаю цикл постов, посвящённых теме разработки безопасного программного обеспечения (РБПО). Он основан на чтении и осмыслении ГОСТ Р 56939-2024.
В нашей компании ООО "ПВС" существует матрица компетенций, на основании которой сотрудники проходят различные обучения, получают навыки и получают баллы для движения по сетке грейдов. Нам полезно развивать сотрудников, чтобы они лучше понимали суть РБПО, могли использовать некоторые подходы в работе, проводили доклады/вебинары на эту тему и т.д. Поэтому мы решили выделить и оформить сходную компетенцию, которую смогут получить заинтересованные сотрудники. Началом этого процесса стало составление списка полезных для нас материалов по теме РБПО. Всё это внутренняя кухня, однако сам список достаточно интересный и может быть полезен широкому кругу разработчиков и менеджеров. Поэтому мы решили опубликовать список ссылок на выбранные нами материалы в виде этой статьи.
РБПО-0xx. Решил дальше не публиковать про ГОСТ Р 56939-2024 и РБПО на Дзене
Я решил остановить выкладку здесь публикаций, посвящённых разработке безопасного ПО (ГОСТ Р 56939-2024). После публикации более 50 заметок можно сделать вывод, что площадка Дзен не подходит для такого вида и формата материала. Не добавляются ни подписчики, ни просмотры. Возможно, ситуация изменится, если подключить платную рекламу. Но в этом нет смысла, так как платную рекламу мы и так уже используем для продвижения наших материалов на других площадках...
РБПО-055. Процесс 10 — Статический анализ исходного код (часть 4/4)
Продолжаем рассматривать артефакты десятого процесса ГОСТ Р 56939-2024. п.5.10.3.3 Конфигурации и параметры настройки инструментов статического анализа должны обеспечивать выполнение требований регламента проведения статического анализа в части выявления типов и критичности ошибок (уязвимостей), периодичности проведения статического анализа или событий, при наступлении которых необходимо выполнять повторный статический анализ. Про настройку анализаторов — см. п.5.4 в ГОСТ Р 71207–2024. Что такое критические ошибки, я уже разбирал, но на всякий случай ещё раз дам отсылки...
РБПО-054. Процесс 10 — Статический анализ исходного код (часть 3/4)
Вернёмся к ГОСТ Р 56939-2024. По порядку пройдёмся по артефактам. 5.10.3.1 Регламент проведения статического анализа исходного кода ПО должен содержать следующие сведения: Здесь сразу предлагаю открыть ГОСТ Р 71207-2024 и заимствовать для составления регламента из пятого раздела "Требования к внедрению и порядку выполнения статического анализа". - обязанности сотрудников и их роли при проведении статического анализа; - критерии выбора инструментов статического анализа; [рассмотрим подробнее ниже]...
РБПО-053. Процесс 10 — Статический анализ исходного код (часть 2/4)
Вторая порция ссылок по теме статического анализа и PVS-Studio:
Опубликована запись подкаста: sysadmins №60. Прохождение сертификации ФСТЭК > Наступил тот самый момент, когда нашим дорогим подписчикам можно узнать детали ещё одной тайны мироздания – как получить сертификат ФСТЭК на свою разработку. Вместе с Никитой Молчаном из лаборатории Атомзащитаинформ, Даниилом Скалацким из Angie Software и Андреем Карповым из PVS-Studio выясняли, в чём разница между лицензированием, аттестацией и сертификацией, зачем, кому и для чего оно надо, как проводится экспертиза и, самое главное, что ждёт рискнувшего и как заполучить вожделенный сертификат. P.S. В начале подкаста я немного запутался. Я говорил, мол до этого говорили про статический анализ, а теперь про сертификацию. На самом деле в прошлый тема была более общая: №58. РБПО. А именно статический анализ был в другом подкасте - Ever Secure | Статический анализ по-серьезному.
РБПО-052. Процесс 10 — Статический анализ исходного код (часть 1/4)
Цели десятого процесса по ГОСТ Р 56939-2024: Предотвращение внесения потенциально опасных конструкций и ошибок в ПО, а также использования опасных конструкций и уязвимостей из заимствованного кода. Я в затруднении :) Это процесс, про который я могу написать очень много. Или, наоборот, мало, сведя всё к списку ссылок на другие материалы, где так или иначе мы разбирали соответствующие темы. Попробую сделать что-то среднее. Начну с ссылок, а затем всё же бегло пройдусь по пунктам десятого процесса....
Вышел новый релиз PVS-Studio — 7.38. Новое ядро для C и C++ анализатора, механизм пользовательских аннотаций в Java анализаторе, улучшение анализа заражённых данных, и это ещё не всё! Больше подробностей в этом пресс-релизе. Читать далее: PVS-Studio 7.38: новое ядро C++ анализатора, пользовательские аннотации в Java, улучшение taint-анализа и многое другое.
РБПО-051. Процесс 9 — Экспертиза исходного кода (часть 3/3)
Теперь перейдём к артефактам реализации требований девятого процесса ГОСТ Р 56939-2024: 5.9.3.1 Регламент проведения экспертизы исходного кода ПО должен содержать следующие сведения: - обязанности сотрудников и их роли при проведении экспертизы исходного кода ПО; - базовые требования к экспертизе (количество участников; области кода, подлежащего экспертизе; используемые инструменты и т. д.); - описание основных проверок (например, сценариев, шаблонов, чек-листов) проведения экспертизы исходного кода ПО...
РБПО-050. Процесс 9 — Экспертиза исходного кода (часть 2/3)
Продолжим читать девятый раздел ГОСТ Р 56939-2024. Требования к реализации: 5.9.2.1 Разработать регламент проведения экспертизы исходного кода ПО. На языке программистов: разработать порядок и чек-листы проведения обзоров кода (code review). Скорее всего, практика обзоров кода так или иначе уже существует в вашей компании, а с внедрением РБПО просто пришло время её формализовать, сделать более чёткой/строгой и обязательной. 5.9.2.2 Проводить экспертизу определенных областей кода ПО (в первую очередь...
РБПО-049. Процесс 9 — Экспертиза исходного кода (часть 1/3)
Цели девятого процесса по ГОСТ Р 56939-2024: Обеспечение соответствия исходного кода ПО предъявляемым к нему требованиям. Хотя это явно не сказано в стандарте, но, как я понимаю, здесь подразумевают три схожих, но не идентичных направления работ. Первый вид работ — экспертиза кода, создаваемого в компании штатными разработчиками. Другими словами, это классические обзоры кода (code review), только более упорядоченные, чем обычно это бывает при разработке ПО. Именно к этому относятся артефакты из п 5...