Ассоциация SAFECode, созданная для пропаганды методов повышения безопасности программ, оборудования и сервисов, представила (http://www.safecode.org/news.php#press_release_dev_prac) документ
"Fundamental Practices for Secure Software Development (http://www.safecode.org/publications/SAFECode_Dev_Practices1...)" (PDF, 2.1Мб), в котором изложены основы разработки безопасного программного обеспечения. В документе представлены следующие рекомендации:
- Минимизация использования потенциально небезопасных функций (strcpy, strncpy, strcat, scanf, sprintf, gets и подобных);- Использование последних версий средств компиляции и сборки. Например, в новых версиях gcc появились средства для защиты от срыва стека (-fstack-protector); возможность переключения определенных областей памяти, после загрузки исполняемого приложения, в режим только для чтения (-Wl,zrelro); средства рандомизации адресного пространства (-Wl -pie); функции glibc для дополнительной внутренней проверки выход...
URL: http://www.safecode.org/news.php#press_release_dev_prac
Новость: http://www.opennet.me/opennews/art.shtml?num=18617
всё как обычно - одни работают, а другие подсказывают как это лучше сделать )
Жаль для С++ нет вразумительного открытого инструмента статического анализа кода.
Это потому что в C++ без поллитры не разберешься, а компы пить не умеют. Приходится анализировать самим.
>Это потому что в C++ без поллитры не разберешься, а компы пить
>не умеют. Приходится анализировать самим.Нет ничего более строго структурированного и прозрачно-интуитивно-ясного, чем C++
Просто инструментом нужно сначала овладеть, а потом уже бежать за поллитрой, не наоборот
>Нет ничего более строго структурированного и прозрачно-интуитивно-ясного, чем C++кроме Delphi )))
>>Нет ничего более строго структурированного и прозрачно-интуитивно-ясного, чем C++
>
>кроме Delphi )))Тогда давай сразу Object Pascal )) Вот там действительно все строго, в отличие от сев...
Из книг что доводилось читать, только от Микрософта самая грамотная, по этой теме.
"совершенный код" что ле?
совершенный или защищенный код... Не помню уже.
Кстати, есть еще у O'Relly книженция неплохая...
Жаль, что они сами её не читали :)) А то, глядишь, и винда была бы не такой уязвимой :)
>Жаль, что они сами её не читали :)) А то, глядишь, и
>винда была бы не такой уязвимой :)Те кто читал, пишут нормально. Придратся не к чему.
Только в реалиях иногда необходимо жертвовать защищенностью :(, для увеличения производительности, и не превращения этого кода в одну большую проверку.
А ещё микрософфту и закладки надо оставлять
> Только в реалиях иногда необходимо жертвовать защищенностью :(, для увеличения производительности, и не превращения этого кода в одну большую проверку.Нельзя так делать :-)
>> Только в реалиях иногда необходимо жертвовать защищенностью :(, для увеличения производительности, и не превращения этого кода в одну большую проверку.
>
>Нельзя так делать :-)Знаю.
Спасибо за заметку, многое использую из того что приведено, но и кое-что новое для себя увидел.