работал всегда ? Кмк сама фишка с безопасностью раста - крутая, но реализация конечно по мне так себе, синтаксис, прибивание гвоздями кода к некоторым спорным и строгим идиомам... Но статический анализатор на уровне кода - штука классная, потенциально CVE будет меньше.
Синтаксический анализатор уже есть
Если в языке всё дозволено, то синтаксический анализатор сложнее для него реализовать и скорее всего он не все проблемы будет находить. Но гораздо проще ограничить сам язык и тогда проблем станет меньше, некоторые можно вообще устранить навсегда. Вот Раст и пошёл таким путём — он меняет правила программирования, чтобы код можно было писать так, как компилятор сможет проверить его на отсутствие определённого класса ошибок. Ну и да, для Раста есть отдельные анализаторы — не все проблемы решает компилятор
Это ложноотрицательные. Ложноположительные — анализатор говорит что есть ошибка, хотя на самом деле её нет, ложноотрицательные — анализатор говорит что нет ошибки, хотя она есть.
Я думаю, что лучше ситуация, когда компилятор говорит, что есть ошибка, когда на самом деле её нет — просто переписываешь так, что компилятор становится довольным. Гораздо хуже будет, если анализатор скажет, что ошибки нет, а она на самом деле есть
Обсуждают сегодня