*SOFT* | Автоматизированный анализ исходного кода

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Программирование и базы данных (http://forum.oszone.net/forumdisplay.php?f=21)

SmartRisk Analyzer найдет дыры в программах еще в процессе их написания

Цитата:

Софтверная фирма @stake из Кембриджа (шт. Массачусетс) разработала программу, которая называется SmartRisk Analyzer. Ее основная задача - поиск ошибок и дыр в системе защиты других программ. Так что предназначена она для программистов, которые хотели бы проверить написанный ими код и сделать его более качественным.

SmartRisk Analyzer сканирует программы, написанные на языках C, C++ и Java, и ищет в них ошибки, используя которые хакеры могут взломать систему защиты программы. Самыми распространенными ошибками такого рода являются ошибки, допускающие переполнение буфера. Особо следует отметить, что SmartRisk Analyzer анализирует бинарный код программ, то есть код, состоящий из нулей и единиц, полученный после трансляции кода, написанного программистом. Благодаря такой технологии SmartRisk Analyzer может отлавливать ошибки, которые проявляют себя только когда программа взаимодействует с сервисами операционной системы, в том числе с API-интерфейсами системы защиты, криптографическими API-интерфейсами или сетевыми файловыми службами. По заявлению разработчиков, SmartRisk Analyzer также проверяет систему ввода данных и выискивает так называемые "черные ходы".

Источник:
http://stra.teg.ru/lenta/security/6963/print

Что-то не могу выйти на нормальное описание этого продукта. На сайте производителя мне только мультики какие-то собираются показать, а потом всё глохнет. Кто-нибудь видел "вживую" этот продукт?

hasherfrog
Сюда смотрел? В том числе ссылки слева. там же еще можно заполнить форму на получения более подробной информации (Learn More About SmartRisk Analyzer).

Анализ исходного кода

Подскажите, где найти материалы по теме "Автоматический анализ исходного кода". Имеется в виду технологии, основные алгоритмы, задачи, которые можно с помощью него решить, примеры программ. Хочется понять, что возможно получить по коду, не прибегая к компиляции, тестированию и т.д. То есть выявление структуры программы, проверка на безопасность, переносимость и ,возможно, еще что-то.

В разделе программирования (т.е. в данном разделе) была совсем недавно прикреплённая тема о защите программного обеспечения и способах взлома (точнее, страница с ссылками на нет-страницы). Ищите по ключевым словам в названии темы: Банк данных.

Что касается автоматического анализа исходного кода, могу посоветовать (для линукс) valgrind и старенькую efence. Рулят не по-детски, что называется. Даже слишком. Для виндоуз я про подобные системы только читал - никогда не пользовался, хотя у меня на винчестере лежит пара (минимум) подобных программ (причём _кроме_ указанных Greyman'ом. Посмотреть название... потом, ладно?

Темы же я склею.