Журнал "Information Security/ Информационная безопасность" #2, 2025

Работа с указателями, памятью и битовыми операциями Запрещена арифметика указателей, преобразование типов и динамическое выделение памяти, что вынуждает использовать статические структуры и итеративные алгоритмы. Битовые опе- рации разрешены только для беззнако- вых типов, что исключает неявные пре- образования с потерей точности. Ограничение на использование препроцессора и форматных строк Препроцессорные директивы приме- няются лишь для включения заголовков, макросы должны быть оформлены с обя- зательным использованием скобок и без переменного числа аргументов. Анало- гичные строгие требования распростра- няются и на форматные строки для предотвращения атак, связанных с их неправильной обработкой. Организация кода и детерминированное поведение Код должен быть четко структурирован: имена переменных – уникальные, модули – логически разделены. Исключаются кон- струкции с неопределенным поведением (например, использование неинициали- зированных переменных, выход за грани- цы массивов, переполнение знаковых целых чисел), а функции ограничиваются по числу точек выхода, глубине вложен- ности и цикломатической сложности. Благодаря этим ограничениям MISRA эффективно предотвращает большин- ство распространенных дефектов без- опасности, обеспечивая высокий уровень защиты для критически важных систем. Зачем российским компаниям внедрять стандарт в разработку? Стандарт накладывает большое коли- чество довольно строгих ограничений. Что же получают российские компании в обмен на такие "оковы", кроме и так понятного повышения надежности и без- опасности? Международная интеграция и экспорт Несмотря на санкционные ограничения и сложности с международной сертифи- кацией, наличие сертификата MISRA остается мощным конкурентным пре- имуществом, поскольку клиенты ориен- тируются на признанные международные стандарты качества. Импортозамещение и технологический суверенитет Сертификация по MISRA позволяет демонстрировать соответствие мировым требованиям и способствует созданию отечественного ПО, способного конку- рировать с зарубежными аналогами, что повышает доверие на внутреннем рынке. Доступ к международному опыту Использование проверенных методик и инструментов, основанных на между- народных стандартах, критически важно для создания безопасных и надежных систем. Выход на новые рынки Соответствие MISRA открывает воз- можности для выхода на рынки Азии и Ближнего Востока, усиливая конкурен- тоспособность российских разработок. Упрощение взаимодействия с регуляторами При наличии внутренних требований, зачастую аналогичных рекомендациям MISRA, применение стандарта облегчает работу с национальными заказчиками и регуляторами. Таким образом, интеграция и сертифи- кация по стандарту MISRA становится стратегическим инструментом, позволяю- щим российским компаниям не только совершенствовать процессы разработки и повышать надежность продукции, но и уверенно конкурировать как на внут- реннем, так и на международном рынках. Практические советы по внедрению MISRA Внедрение MISRA требует комплекс- ного подхода к обеспечению безопасно- сти и качества кода, поскольку ручное отслеживание соблюдения всех правил практически невозможно. Поэтому край- не важно интегрировать эффективный статический анализатор, который под- держивает актуальную версию стандарта и обеспечивает оперативное выявление нарушений. Автоматизированная про- верка на ранних этапах разработки поз- воляет значительно сократить трудозат- раты и повысить надежность проекта. Российский статический анализатор PVS-Studio (запись в едином реестре рос- сийского ПО № 9837) полностью соот- ветствует указанным требованиям. Он автоматизирует рутинную проверку мно- жества аспектов стандарта, позволяя раз- работчикам сосредоточиться на действи- тельно критичных задачах. Особое вни- мание заслуживает обшир- ный набор диагностиче- ских правил, включающих как правила общего назначения, так и правила микрооптимизаций. Первый набор позволяет обнаружи- вать потенциальные уязвимости и кри- тические ошибки (согласно ГОСТ Р 71207–2024), а набор правил микро- оптимизаций направлен на выявление проблемных мест в коде и улучшение его производительности. Следующим этапом становится выбор подмножества правил с учетом специ- фики проекта. В этом плане стандарт позволяет проявить гибкость: вы вправе исключить неприменимые для вашего проекта правила или изменить их уро- вень, что поможет адаптировать процесс проверки к уникальным особенностям и требованиям конкретной системы. Интеграция MISRA в процесс разра- ботки предполагает включение автома- тизированных проверок в CI/CD-конвей- ер, что обеспечивает обнаружение про- блем на самых ранних этапах. Автома- тизированный анализ в сочетании с руч- ным код-ревью создает мощный меха- низм контроля, позволяющий гаранти- ровать соответствие стандарту и под- держивать высокое качество кода. Наконец, успех проекта во многом зависит от обучения команды. Регуляр- ные образовательные программы, соз- дание внутренних руководств и назначе- ние ответственных за соблюдение стан- дартов – помогают разработчикам быстро освоить требования MISRA и при- менять их на практике. Предложите вашей команде разра- ботки бесплатно попробовать PVS-Studio в течение месяца по промокоду asutp_itsec и на практике оценить воз- можности инструмента по выявлению дефектов безопасности в соответствии со стандартом MISRA. l • 55 Защита аСУ тП www.itsec.ru Рис. 2. ПросмотрMISRA предупреждений PVS-Studio в плагине для IDE Qt Creator АДРЕСА И ТЕЛЕФОНЫ PVS-STUDIO см. стр. 82 NM Реклама