12 августа 2019

Устранение небезопасных методов кодирования и неопределенных поведений, которые могут привести к уязвимостям и ненадежным приложениям

Стандарт кодирования CERT C состоит из набора руководств, призванных помочь в разработке безопасных и надежных систем. Он был разработан командой Computer Emergency Response Team (CERT) Института программного обеспечения (SEI) с участием многих отраслевых экспертов. SEI является финансируемым федеральным правительством пионером в области практик программирования, и расположен в Университете Карнеги-Меллона и поддерживается Министерством обороны США.

Подразделение SEI CERT было сформировано в ответ на инцидент с червем Морриса 1988 года и сосредоточено на повышении безопасности и устойчивости компьютерных систем и сетей. CERT пользуется большим уважением за свой опыт и тесно сотрудничает с организациями из частного и государственного секторов, включая Cisco, Oracle и Департамент внутренней безопасности США. Идея стандарта безопасного кодирования для языка C родилась в 2003 году в ходе обсуждений CERT с комитетом ISO / IEC JTC1 / SC22 / WG 14 (Wg14), отвечающим за стандарт языка C.

В этом документе разъясняется, как инструменты LDRA можно использовать для проверки и обеспечения соответствия стандарту CERT C.

Одним из ключевых отличий между инструментами анализа качества программного обеспечения является то, что некоторые выполняют динамический анализ, в то время как другие выполняют статический анализ. Статический анализ выполняется без фактического запуска программного обеспечения, тогда как динамический анализ включает в себя запуск всего программного обеспечения или его компонент. Инструменты, используемые для проверки правил кодирования, связаны с исходным кодом, а не с его исполнением, и поэтому используют методы статического анализа.


Для детального ознакомления с информацией скачайте материал по ссылке ниже.