Статический анализатор Svace

Описание

Статический анализатор Svace представляет собой высокоэффективный инструмент для анализа и обеспечения безопасности программного обеспечения на различных этапах его жизненного цикла. Он является основным статическим анализатором компании Samsung и используется для выявления более 70 классов критических ошибок в исходном коде, что обеспечивает высокую надежность создаваемых решений.

Svace поддерживает множество языков программирования, включая C/C++, C#, Java, Kotlin, Go, Python, Scala и Visual Basic .NET, а также предоставляет легковесный анализ для языка JavaScript. Он включен в Единый реестр российского программного обеспечения (номер 4047), что подчеркивает его значимость и соответствие местным требованиям.

Возможности анализа Svace включают:
— Улучшенное качество анализа, включая точное представление кода благодаря интеграции с любыми системами сборки;
— Символьное выполнение для полного покрытия всех возможных путей выполнения с учетом связей между функциями, что позволяет находить сложные ошибки;
— Межпроцедурный анализ с учетом контекстов вызовов, анализ потока данных и чувствительной информации, а также анализ статистики вызовов;
— Высокий процент истинных срабатываний, варьирующийся в диапазоне от 60 до 90%.

Анализатор демонстрирует высокую масштабируемость и скорость работы: он использует параллельный анализ с задействованием всех доступных ядер процессора и способен обрабатывать системы с десятками миллионов строк кода. Например, анализ мобильной операционной системы Tizen 7, содержащей 57 миллионов строк кода, занимает от 7 до 10 часов в зависимости от используемого движка анализа.
Svace также включает поддержку инкрементального анализа, который позволяет быстро проверять недавно внесенные изменения в код.

Другая важная особенность — возможность адаптации анализатора под конкретные задачи пользователя. Свace предоставляет возможности для настройки существующих детекторов и написания индивидуальных детекторов, а также обладая гибким программным интерфейсом для разработки плагинов.

Svace полностью соответствует актуальным нормативным требованиям и стандартам, включая соответствие ФСТЭК России. Это позволяет применять его для разработки программного обеспечения, требующего сертификации в России, а также для реализации требований ГОСТ Р 56939-2016.

Сервер истории предупреждений Svacer позволяет удобно просматривать, фильтровать и управлять результатами анализа. Данный инструмент поддерживает многопользовательский режим, что делает его удобным для командной работы.

Для анализа кода на языках C/C++ поддерживаются различные компиляторы, включая GCC, Clang, и Microsoft Visual C++, а также множество других специализированных платформ и сред.

Svace находит широкое применение в компаниях, разрабатывающих ПО с высокими требованиями к надежности и безопасности, а также в сертификационных лабораториях. За период активного внедрения с 2015 года, данный анализатор стал незаменимым инструментом для проверки программного обеспечения компании Samsung и других крупных игроков, таких как Huawei, и используется более чем в 100 российских компаниях и лабораториях, включая ОАО «РусБИТех» и АО «Лаборатория Касперского».