PVS-Studio Подводит Итоги 2025 Года: Прорывные Улучшения в Анализе Кода и Расширение Технологических Партнерств

Россия - Информационное агентство Эхбари

PVS-Studio Подводит Итоги 2025 Года: Прорывные Улучшения в Анализе Кода и Расширение Технологических Партнерств

Компания PVS-Studio, ведущий разработчик инструментов статического анализа кода, представила подробный отчет о своей деятельности за 2025 год. В нем выделяется ряд значимых достижений, которые укрепили позиции компании на рынке обеспечения безопасности программного обеспечения. Среди ключевых успехов – существенное улучшение плагинов для популярных сред разработки, заключение стратегических технологических партнерств с системами ASOC (Application Security Orchestration and Correlation), а также внедрение мощного набора новых диагностических правил. Эти правила специально разработаны для обеспечения соответствия кода критически важным отраслевым стандартам, таким как OWASP и MISRA. Как сообщили представители PVS-Studio изданию CNews, эти разработки подчеркивают неизменную приверженность компании инновациям и предоставлению передовых, эффективных решений для анализа кода.

2025 год был отмечен интенсивным вниманием к усилению базовых аналитических возможностей продукта. Для анализаторов C и C++ был выпущен совершенно новый парсер кода, что привело к значительным улучшениям в анализе и разборе языковых конструкций и стандартной библиотеки. Олег Лысый, руководитель отдела разработки C и C++ анализатора, прокомментировал: «2025 год ознаменован важнейшими технологическими улучшениями в нашем C и C++ анализаторе. Мы подготовили фундамент для поддержки новых стандартов языков и развития data flow и taint-анализа». Изменения, внесенные в механизм taint-анализа в течение года, привели к заметному увеличению количества случаев, в которых анализатор может выявлять потенциальные уязвимости, значительно расширяя возможности разработчиков по созданию более безопасного программного обеспечения.

Развитие не ограничилось только языками C и C++; анализатор C# также получил существенные обновления. Была интегрирована возможность учета помеченных данных (tainted data), что позволило обнаруживать более широкий спектр ошибок, таких как выход за границы массива, определение переполнения и потенциальное деление на ноль. Кроме того, была оптимизирована производительность анализа блоков кода с большим количеством идентификаторов переменных (500 и более). Ранее такие сценарии могли приводить к замедлениям анализатора. Эти улучшения обеспечивают более плавный и эффективный процесс анализа для разработчиков, работающих с C#.

PVS-Studio также приложила усилия к совершенствованию и доработке своих основополагающих диагностических правил. Была добавлена поддержка новых языковых конструкций, а механизмы PVS-Studio по выявлению проблем в коде были улучшены. Что особенно важно, в финальном релизе 2025 года была реализована поддержка анализа проектов, построенных на новейшей версии .NET 10, что обеспечивает совместимость анализатора с передовыми технологиями разработки. Артем Ровенский, руководитель отдела разработки C#-анализатора, подчеркнул это направление, заявив: «В 2025 году мы уделили время созданию специализированных диагностических правил для работы с проектами на основе Unity. На данный момент в C#-анализаторе более 20 специализированных диагностик для выявления проблем оптимизации и ошибок общего назначения». Этот фокус на Unity отражает отзывчивость компании к растущим потребностям сообществ разработчиков игр и виртуальной реальности.

В рамках другого стратегического шага PVS-Studio расширила свои интеграционные возможности, поддержав прямую загрузку результатов анализа в системы ASOC (Application Security Orchestration and Correlation). Эта инициатива привела к технологическим партнерствам с различными ASOC-инструментами, что позволяет бесшовно интегрировать анализатор в существующие конвейеры разработки. Результаты анализа теперь могут быть интегрированы в такие платформы, как AppSecHub, Hexway, Securitm, CyberCodeReview и TRON.ASOC, упрощая управление уязвимостями и их отслеживание для команд безопасности и разработчиков.

PVS-Studio также подтверждает свою приверженность национальным стандартам, демонстрируя соответствие ГОСТ Р 71207-2024. Еще в 2024 году в плагинах PVS-Studio для Visual Studio и Visual Studio Code появилась возможность включать отображение специальных SAST (Static Application Security Testing) идентификаторов, которые указывают на принадлежность срабатывания к категориям критических ошибок из ГОСТ Р 71207-2024. В 2025 году эта функциональность была расширена на плагин SonarQube и файлы конфигурации анализа `.pvsconfig`. Эта функция жизненно важна для специалистов по информационной безопасности, которые тщательно следят за соблюдением требований кибербезопасности и придерживаются процессов разработки безопасного программного обеспечения. Более того, концепция, по которой анализатор помечает срабатывания как критические по ГОСТу, была переработана. Ранее одно правило напрямую соответствовало одному идентификатору критической ошибки. Теперь подход стал динамическим: одно предупреждение анализатора может быть связано с несколькими критическими категориями, предоставляя более тонкий и всесторонний взгляд на потенциальные риски.

Информационное агентство Эхбари