В PVS-Studio подвели итоги 2025 г.: улучшения плагинов сред разработки, технологическое партнерство с ASOC-системами, новые диагностические правила общего назначения и нацеленные на проверку соответствия кода стандартам OWASP и MISRA. Об этом CNews сообщили представители PVS-Studio.
Работали над улучшением анализа. Для C и C++ выпустили новый парсер кода, улучшили анализ и разбор конструкций языка и стандартной библиотеки.
«2025 г. ознаменован улучшением технологий, используемых в C и C++-анализаторе: мы подготовили фундамент для поддержки новых стандартов языков и развития data flow и taint-анализа», — сказал Олег Лысый, руководитель отдела разработки C и C++ анализатора.
Произведенные за год изменения в механизме taint-анализа в итоге увеличили количество случаев, в которых анализатор может найти потенциальные уязвимости. Подробнее можно прочитать в этой статье.
В C#-анализатор был добавлен учет помеченных данных при обнаружении большего количества ошибок, например, при выходе за границу массива, определении переполнения и потенциального деления на 0; а также оптимизирован анализ блоков кода с большим количеством идентификаторов переменных (500 и более). Ранее в подобных ситуациях были возможны замедления анализатора.
Улучшали и дорабатывали самые первые диагностические правила. Были поддержаны новые конструкции языка, улучшены механизмы PVS-Studio по выявлению проблем в коде. А в последнем релизе 2025 г. поддержали анализ проектов на свежей версии .NET 10.
«В 2025 г. мы уделили время созданию специализированных диагностических правил для работы с проектами на основе Unity. На данный момент в C#-анализаторе более 20 специализированных диагностик для выявления проблем оптимизации и ошибок общего назначения», — сказал руководитель отдела разработки C#-анализатора Артем Ровенский.
Поддержали загрузку результатов анализа в ASOC-системы. PVS-Studio заключили технологическое партнерство с различными ASOC-инструментами. Теперь анализатор можно легко внедрять в конвейер разработки, используя те же инструменты, что и ранее. Результаты анализа можно интегрировать в AppSecHub, Hexway, Securitm, CyberCodeReview и TRON.ASOC.
PVS-Studio соответствует ГОСТ Р 71207-2024. Еще 2024 г. в плагинах PVS-Studio для Visual Studio и Visual Studio Code появилась возможность включить отображение специальных SAST-идентификаторов, отображающих принадлежность срабатывания к категориям критических ошибок из ГОСТ Р 71207-2024. Приоритезация исправления таких срабатываний важна для специалистов, которые тщательно следят за выполнением требований информационной безопасности, а также для соблюдения процесса разработки безопасного ПО.
В 2025 г. подобный функционал появился в плагине для SonarQube и в файлах конфигурации анализа `.pvsconfig`.
Переработана концепция, по которой анализатор помечает срабатывания как критические по ГОСТу. Ранее одно правило четко соответствовало одному идентификатору критических ошибок. Теперь подход стал динамическим: одно предупреждение анализатора может относиться к нескольким категориям критических ошибок.
Помимо ГОСТ занимались покрытием стандарта OWASP. В 2025 году мы провели большие работы по покрытию Java-анализатором категорий дефектов безопасности из OWASP Top 10 2021, было выпущено множество новых диагностических правил, целью которых является поиск потенциальных уязвимостей.
«Сейчас мы покрываем 9 из 10 категорий OWASP, а к следующему (февральскому) релизу в Java анализаторе будет 40 security-диагностик», — сказал руководитель отдела разработки Java-анализатора Константин Волоховский.
Улучшили поддержку стандартов MISRA. Мы начали работы по улучшению покрытия стандарта MISRA C 2023 диагностическими правилами C и C++-анализатора. Теперь инструмент поддерживает генерацию отчета MISRA Compliance с учетом новых версий стандарта. К февральскому релизу PVS-Studio 7.41 стандарт MISRA C 2023 будет покрыт на 80-85%.
Улучшили плагины для сред разработки. В Visual Studio 2026 появился плагин PVS-Studio, анализирующий С, C++ и C#-проекты на основе сборочной системы MSBuild.
Также инструмент стал доступен для большего количества версий Qt Creator: теперь его можно использовать в 15, 16, 17 и 18 версиях среды разработки.
Портировали плагин на комплект разработчика для ОС «Нейтрино» на Windows. Из него поддержана работа с Qt Creator 6 (Qt 5.14.2).
Проекты на Java теперь можно анализировать с помощью PVS-Studio в интегрированной среде разработки OpenIDE.
Добавили мониторинг компиляции в плагин для Visual Studio Code. В плагине PVS-Studio для среды разработки Visual Studio Code появилась возможность проводить анализ проектов на основе мониторинга компиляции. В таком режиме плагин отслеживает запуск процессов, соответствующих целевому компилятору, и собирает информацию об их окружении. Затем, получив всю необходимую информацию, плагин может запустить анализ проекта. Этот функционал доступен только на Windows, но мы планируем добавить его и на Linux.
Улучшали существующие интеграции в сборочные системы. Появилась возможность использовать синтаксис Kotlin DSL при написании скриптов сборки для сборочной системы Gradle, использующих плагин PVS-Studio. Соответствующая инструкция появилась в документации.
Анализировать проекты на основе сборочной системы MSBuild теперь можно с помощью файлов решений формата `.slnf` и `.slnx`.
Расширили возможности пользовательских аннотаций кода в формате JSON. С 2024 г. в анализатор стало можно добавлять пользовательские аннотации кода в формате JSON для C и C++-анализатора. В 2025 г. такую же возможность добавили в Java и C#-анализаторы.
Аннотации дают анализатору дополнительный контекст об использовании различных сущностей, позволяя улучшить качество анализа.
Добавили новый функционал в файлах конфигурации анализа `.pvsconfig`.
В кроссплатформенную утилиту для проверки C и C++-проектов `pvs-studio-analyzer` был добавлен новый флаг `--apply-pvs-configs`. С помощью него включается режим автоматического поиска и применения файлов конфигурации анализа `.pvsconfig` для проверяемых исходных файлов.
Был добавлен механизм перезаписи более приоритетных настроек с помощью `//V_OVERRIDE ON`. Эта опция позволяет поддерживать сложные сценарии.
Работали над улучшением документации инструмента. Например, документация по использованию анализатора для анализа Unreal Engine-проектов дополнилась разделом про анализ с использованием системы распределенной сборки Unreal Build Accelerator.
Полностью переработали документацию об использовании плагина PVS-Studio для интегрированной среды разработки Visual Studio Code.
Поделиться
