С++ и безопасность: правда ли все так плохо?

Сергей проанализирует недавний отчет NSA и расскажет, так ли плохо обстоят дела с безопасностью в С++ на самом деле и что современная индустрия предлагает для решения этого вопроса.

Он разберет проблемы с безопасностью в С++ на открытых примерах из Chromium, среди которых:

• работа с памятью;
• UB;
• C legacy, строки, арифметика, преобразования типов.

Спикер также покажет различные подходы к митигации описанных проблем, в частности:

• статический анализ;
• динамический анализ;
• фаззинг-тестирование;
• харденинг;
• выделение безопасных подмножеств языка: Misra, AUTOSAR, стандарт Google;
• методология SDL как комплексное решение;
• (бонус) подход KasperskyOS по определению недоверенных компонентов, допускающих наличие уязвимостей, но без возможности их проэксплуатировать и развить атаку.