Сборники трудов ИСП РАН


Использование статического анализа для поиска уязвимостей и критических ошибок в исходном коде программ.

Арутюн Аветисян, Андрей Белеванцев, Алексей Бородин, Владимир Несов.

Аннотация

Статический анализ является популярным средством поиска в исходном или двоичном коде программ определенных шаблонов или ситуаций (ошибок стиля кодирования, нарушений проектных соглашений об использовании определенных библиотек или свойств языка программирования, критических ошибок, уязвимостей, закладок). В данной статье предлагается обзор инструмента статического анализа исходного кода программ на языках Си/Си++, разработанного в ИСП РАН для поиска критических ошибок и уязвимостей. Применение межпроцедурного анализа потока данных, не гарантирующего нахождение всех заданных ситуаций, позволяет проводить автоматический анализ с долей истинных предупреждений в 40-80%, что находится на уровне лучших коммерческих инструментов статического анализа.

Ключевые слова

статический анализ, анализ потока данных, интервальный анализ, межпроцедурный анализ, уязвимости

Издание

Труды Института системного программирования РАН, том 21, 2011, стр. 23-38.

ISSN 2220-6426 (Online), ISSN 2079-8156 (Print).

Полный текст статьи в формате pdf Вернуться к содержанию тома