Static analysis

SDCast #107: в гостях Кирилл Смелов и Максим Колмаков, разработчики PhpStorm

Встречайте 107-й выпуск подкаста, в котором мы вместе с Петей из «Пятиминутки PHP», пообщались с Кириллом Смеловым и Максимом Колмаковым, разработчиками из команды PhpStorm в компании JetBrains.

В этом выпуске ребята рассказали про то, как устроена разработка PhpStorm, какая есть связь с основной платформой IntelliJ, как с технической стороны, так и социально-коммуникативной. Мы обсудили, кто и как задаёт вектор развития продукта, откуда поступают запросы на новые фичи, как происходит планирование релизов.

Также ребята рассказали про команду проекта, роли и зоны ответственности, и поделились своим впечатлением от стажёрства и наставничества над студентами и какие это даёт плоды.

Поговорили мы и о последних новых фичах языка и интересных возможностях PhpStorm, которые появились совсем недавно, или поддержка которых как раз планируется. Обсудили поддержку статических анализаторов для PHP, таких как PHPStan, Psalm. Ребята рассказали про интересную возможность менять поведение IDE через конфигурацию на PHP, так называемые META файлы.

Обсудили такую важную вещь — как обратная связь от пользователей продукта, насколько она важна для разработчиков, что даёт открытость баг-трекера коммерческого продукта и возможные каналы обратной связи.

Читать далее

SDCast #101: в гостях Евгений Рыжков и Андрей Карпов

Встречайте 101-й выпуск SDCast’а, в котором мы говорим про статический анализ. У меня в гостях основатели PVS-Studio Евгений Рыжков и Андрей Карпов. В этом выпуске мы подискутировали о методологии статического анализа, обсудили различные подходы к внедрению статического анализа в процесс разработки ПО, осветили какие классы ошибок ловит статический анализатор.

Так же ребята рассказали различные истории внедрения своего статического анализатора в различных компаниях и командах, мы обсудили целесообразность внедрения статического анализа в больших и малых командах, в каких случаях это даёт существенный плюс, в каких командах это просто необходимо.

Не обошли мы стороной и технические аспекты статических анализаторов. Ребята рассказали про историю эволюции PVS-Studio и как в нём появлялась поддержка новых языков. Мы обсудили, насколько сильно различные языки и парадигмы влияют на ядро анализатора, какие есть подходы при реализации поддержки новых языков и какие плюсы и минусы у каждого подхода.

Так же ребята рассказали, как устроен процесс разработки PVS-Studio у них в компании, как происходит планирование новых фич и выпуск версий и как построена работа с обратной связью от пользователей анализатора.

Ссылки на ресурсы по темам выпуска:

* Статья Андрея «Технологии, используемые в анализаторе кода PVS-Studio для поиска ошибок и потенциальных уязвимостей» (https://habr.com/ru/company/pvs-studio/blog/430604/)
* Статья «Разработка нового статического анализатора: PVS-Studio Java» (https://habr.com/ru/company/pvs-studio/blog/414669/)
* Блог компании PVS-Studio на хабре (https://habr.com/ru/company/pvs-studio/blog/) с статьями по разбору кода различных Open Source проектов и не только!

SDCast #96: в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security

Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.

Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.

Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:

  • SAST (инструменты статического анализа)
  • SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)
  • DAST/IAST (инструменты динамического/интерактивного анализа)
  • Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)
  • Инструменты дефект-менеджмента

Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.

Читать далее

SDCast #24: в гостях Евгений Рыжков, разработчик PVS-Studio.

sd-podcast-logo Друзья! После долгого перерыва, я снова в строю! Встречайте новый выпуск SDCast’а. У меня в гостях Евгений Рыжков, генеральный директор «СиПроВер», компании, которая делает статический анализатор C/C++ кода «PVS-Studio».

В этом выпуске мы говорим непосредственно о языках C/C++ и новых стандартах, обсуждаем то, какие есть классы проблем при разработке, какие есть инструменты для выявления и устранения этих самых трудностей. Евгений подробно рассказывает про статический анализ кода, типы проверок, наиболее частые ошибки, которые допускают как молодые, так и опытные разработчики, попутно вспоминая разные случаи из жизни. Так же Женя рассказывает про то, как они анализируют исходные коды различных открытых проектов и какие типичные ошибки они там встречают, приводит примеры качественных и не очень opensource-проектов.

Читать далее