РМ
svace интересен тем, что анализирует код в контексте выполнения, насколько я знаю.
Size: a a a
2020 April 08
A
они детально рассказывают о своих уязвимостях когда апдейты выпускают?
Они детально рассказывают как анализируют свои продукты и они делают опенсорс в этом направлении. Можно вспомнить про реальный топчик в своей нише - z3, который и исп любит юзать, да вообще все, т.к. продукт реально топ. И его делает мс, опенсорсит, чтобы другие могли на базе него создавать производные вещи.
A
svace интересен тем, что анализирует код в контексте выполнения, насколько я знаю.
Э, а, что? В каком контексте выполнения?
A
Свейс - это нашлёпка на шлангом, если примитивно. Он берёт выхлоп в инструкциях llvm и прогоняет его через некоторые чекеры.
РМ
A
Э, а, что? В каком контексте выполнения?
учёт контекста вызова функции и влияния отдельных путей выполнения.
A
Там нет никакого рантайма. Вся красивая теория о том, что через з3 ветки раскрываются, не более чем теория, которая на практике ломается на паре-тройке вложенных циклов, улетая в бесконечвность по экспоненте.
A
учёт контекста вызова функции и влияния отдельных путей выполнения.
Про пути я выше написал, это не более, чем теория, которая на практике имеет очень много ограничений применимости.
Контекст вызова - надо понимать что кто вкладывает в этот термин. В целом, контекст вызова и цппчек учитывает. Но если говорить опять про теорию, что свейс в теории может символьно нагенерить все возможные варианты значений аргументов функции и что-то там проверить внутри её тела, то приходим опять к бесконечности вариантов и срокам анализа.
Контекст вызова - надо понимать что кто вкладывает в этот термин. В целом, контекст вызова и цппчек учитывает. Но если говорить опять про теорию, что свейс в теории может символьно нагенерить все возможные варианты значений аргументов функции и что-то там проверить внутри её тела, то приходим опять к бесконечности вариантов и срокам анализа.
РМ
A
Про пути я выше написал, это не более, чем теория, которая на практике имеет очень много ограничений применимости.
Контекст вызова - надо понимать что кто вкладывает в этот термин. В целом, контекст вызова и цппчек учитывает. Но если говорить опять про теорию, что свейс в теории может символьно нагенерить все возможные варианты значений аргументов функции и что-то там проверить внутри её тела, то приходим опять к бесконечности вариантов и срокам анализа.
Контекст вызова - надо понимать что кто вкладывает в этот термин. В целом, контекст вызова и цппчек учитывает. Но если говорить опять про теорию, что свейс в теории может символьно нагенерить все возможные варианты значений аргументов функции и что-то там проверить внутри её тела, то приходим опять к бесконечности вариантов и срокам анализа.
вас послушать, то все что бы мы не делали - в корне неправильно, неэффективно и бесполезно
A
Единственное отличие свейс от шланга в том, что по заверению исп свейс умеет проверять не в рамках файла, а с учётом того, что функция может быть объявлена в одном файле, а использоваться в другом.
Но на самом деле, вообще не проблема реализовать этот функционал самостоятельно.
Но на самом деле, вообще не проблема реализовать этот функционал самостоятельно.
A
вас послушать, то все что бы мы не делали - в корне неправильно, неэффективно и бесполезно
Не, я как раз хочу узнать что там реально делается. А всё скрывается, никто ничего не рассказывает. Секреты и тайны.
A
Даже не раскрывается какие баги были найдены.
РМ
A
Не, я как раз хочу узнать что там реально делается. А всё скрывается, никто ничего не рассказывает. Секреты и тайны.
приходите, покажем
РМ
не тут же рассказывать и показывать
A
Почему? МС же не гнушается в паблик это выкладывать.
РМ
A
Почему? МС же не гнушается в паблик это выкладывать.
дайте почитать?
A
А исп не снабжает разве инфой? Они любят рассказывать об успехах и достижениях мс на этом поприще.
РМ
A
А исп не снабжает разве инфой? Они любят рассказывать об успехах и достижениях мс на этом поприще.
ну как минимум, это не мое направление )
A
Я к тому, что инфа эта не закрытая, легко гуглится, исп всё мониторит и изучает без проблем.
k
Зачем? Я к линуксу на рабочем месте привык. Все работает. А если нет разницы, то зачем платить больше? 😁
Будто лин православный бесплатный)
РМ
A
Я к тому, что инфа эта не закрытая, легко гуглится, исп всё мониторит и изучает без проблем.
информация об уязвимостях для любого вендора очень чувствительна