В прошлом году разработчики статического анализатора кода PVS-Studio уже привели к результату их исследований в операционной системе Tizen Пример и сейчас опять выбор упал на другой, не менее популярной ОС, андроид. Выглядит в будущее, я хочу отметить, что не ожидал такого огромного количества ошибок в таком популярном продукте!
В статье, ошибки, несущие даже такого высококачественного кодеара, полосатого на примерах, на самом деле даже те, которые тестируются покрытием.
Всего разработчики описали около 490 потенциальных уязвимостей. Например, CWE-14: компилятор удаление кода к чистым буферам, который является серьезным типом потенциальной уязвимости и приводит к доступу к частным данным.
Среди остальных вы можете найти: • CWE-119: ненадлежащее ограничение операций в пределах буфера памяти • CWE-393: возврат неправильного кода состояния • CWE-480: использование неправильного оператора • CWE-561.: Dead Code • CWE-690: не проверенное возвращаемое значение для NULL POINTER DERAFECTION • CWE-762: несоответствующие процедуры управления памятью
И многие другие интересные примеры почти 2 миллионов строк кода в C и C ++! Ух ты!
Источник — https://www.viva64.com/en/b/0579/
Оригинал: «https://dev.to/alexastva/every-4000-lines-of-android-code-contain-a-potential-vulnerability-37ak»