понедельник, 25 апреля 2011 г.

Secure Programming with Static Analysis

а вот например дочитал давеча subj
Весьма попсовая книжка, посвященная скрытой рекламе совершенно определенного продукта (которому посвящена целиком четвертая часть книги например). Ничего особо нового я лично из нее не узнал (кроме пожалуй XPath injections). Лучше бы про coverity кто-нть книжку сочинил
Зато дико угарно было посмотреть сайты рекламируемого продукта и coverity
  • оба старательно перечисляют поддерживаемые языки, операционные системы и версии компиляторов, но обходят глухим молчанием стоимость продуктов
  • оба клянутся здоровьем матери что поддерживают создание пользовательских правил, но не менее старательно не упоминают про поддержку драйверов
Последнему обстоятельству впрочем есть весьма простое объяснение - дело в том что никакими custom rules невозможно описать, что некая функция (или даже ее часть) работают на повышенном уровне IRQL и потому должны избегать например обращений к paged memory (и еще много чего они должны избегать). Кажется из инструментов static code analysis об этом простом факте не задумывается ни один

2 комментария:

  1. По поводу IRQL. PREfast, например, задумывается:

    http://blogs.msdn.com/b/staticdrivertools/archive/2008/05/06/prefast-for-drivers-and-irql-levels.aspx

    ОтветитьУдалить
  2. ога
    тред на rsdn про недоделанность oacr: http://rsdn.ru/forum/asm/4119361.flat.aspx

    ОтветитьУдалить