Комментарии 88
А анализ C# уже довели до уровня С++? Или C# просто не позволяет так сильно косячить? :)
Из предложений конечно хочется Джаву, на ней же живет весь Энтерпрайз, особенно забугорный. Золотая жила для вас. Но Java как и C# не позволяет очень уж косячить.
А вместо CWE-предупреждений (полезность которых для большинства простых смертных сомнительна) я бы предложил создать класс предупреждений о потенциально тормозных операциях (возможно что-то такое у вас уже есть, просто я не знаю). Т.е. какие-то предупреждения "как не нужно писать код, потому что будет работать медленно".
А анализ C# уже довели до уровня С++? Или C# просто не позволяет так сильно косячить?К сожалению, нет. C# анализатор слабее C++, хотя-бы в силу совей молодости. Накосячить в C# действительно сложнее, но ошибок всё равно очень много (см. начиная с V3001).
класс предупреждений о потенциально тормозных операцияхМы называем это микрооптимизации. См. диагностики с номерами 8xx. Их пока немного, но постепенно будем пополнять.
Микрооптимизации — это здОрово, но сэкономить на них получится если они находятся в коде, который вызывается миллионы раз в секунду. А бывает по ошибке сделали в цикле открытие-закрытие файла или еще какую-нибудь ерунду (например, выделение больших кусков памяти, которые потом не используются). Конечно не совсем понятно, как "понять", что подразумевалось на самом деле, но попытаться выявить подобные ситуации можно. Обычно это делается на основе статистики профилирования и оптимизации конкретного проекта — выявляются проблемы, если проблема часто повторяется — придумывают способ, как ее выявлять.
sonar — использовали в одном из проектов. Не впечатлил.
В общем, есть смысл попробовать.
Тем более странно слышать такой отзыв о sonar от сотрудника компании, которая получает прибыль за счёт интеграции с сонаром m.habrahabr.ru/company/pvs-studio/blog/315422
huntbugs вполне доступен из maven/gradle/ant.
Для open source проектов удобно использовать в travis CI
about.sonarcloud.io
Для коммерческих — купить платную версию сонара с расширенным возможностями или использовать бесплатную в корпоративной сети.
У меня позитивный опыт использования статического анализатора java кода в Sonar в нескольких организациях
if (idx1 > 0 && idx2 > 0 &&
(idx3 < 0 || (idx2 < idx3 && idx3 > 0))) {
....
}
На мой взгляд, Data Flow анализ в нем слабый. Явно слабее того, что мы можем предоставить уже сейчас.
Кроме того, механизм аннотаций не развит. Не находятся ошибки такого типа:
int test1(int a, int b)
{
int x = Math.max(a, a); // <=
return x + b;
}
String test2(String a)
{
return a.replace("aaa", "aaa"); // <=
}
Подобные ошибки часто допускают из-за опечаток и упускать их точно не стоит.
При этом, без предварительной настройки, SonarLint уж очень сильно «шумит».
Также, у нас есть ряд уникальных диагностик в C++ и C# анализаторах, которые будут перенесены в анализатор Java.
Короче говоря, конкурентные преимущества будут.
if (idx1 > 0 && idx2 > 0 &&
(idx3 < 0 || (idx2 < idx3 && idx3 > 0))) {
....
}
IDEA это умеет =)
HuntBugs тоже таки мёртв. IDEA жива :-)
Теоретически такая возможность существует. Практически потребуется написать некоторый программный код для удобной интеграции. Я не уверен, что его кто-нибудь написал, не изучал этот вопрос (в JetBrains явно этим не занимались).
Целый пласт «linux-подобных» платформ остается за бортом из-за этого.
cmake -DCMAKE_EXPORT_COMPILE_COMMANDS=On <src-tree-root>
make -j8
Анализ:
pvs-studio-analyzer analyze -l /path/to/PVS-Studio.lic
-o /path/to/project.log -e /path/to/exclude-path -j<N>
Генерация отчёта:
plog-converter -a GA:1,2 -t tasklist
-o /path/to/project.tasks /path/to/project.log
О всех параметрах анализа и генератора отчётов — тут.
pvs-studio-analyzer analyze -j2 -o PVS-Studio.log
Error: Couldn't open file strace_out
1. Если ДА, то хотелось бы видеть в Вашем продукте ряд проверок, направленных на анализ многопоточного кода. Абстрактно размышляя, количество объектов и методов синхронизации конечное множество, при этом, довольно, малое. Поиск параллельных участков кода и данных, с которыми имеют дело этот код — задача, достаточно, тривиальная. И при этом, количество диагностик, которые можно было бы написать в этой области достаточно большое (учитывая именно статический анализ кода, естественно, что покрывается не все и поэтому без valgrind и sanitaizer-ов не обойтись). Так же Ваш любимый CWE-362: Race Condition.
2. Так же хотелось бы видеть интеграцию со сборочными решениями уровня Enterprise (как единой точки входа для анализа) и иными IDE (в качестве полноценных плагинов) где это поддерживается, например, CLion/IntelliJ IDEA(в будущем), чтобы не править CMake файлы сборки.
Спасибо.
Такие проверки появятся. В конце концов когда-то был неудачный VivaMP. Так что опыт есть. Только теперь мы будем делать не для OpenMP я для распространённых библиотек распараллеливания. Не делаем мы это по той причине, что по-настоящему хорошо всё равно не получится. И пока мы отдаём предпочтение другим направлениям.
Хорошо не получится по той причине, что поиск параллельных ошибок это ооочень сложная задача для статических анализаторов кода. В своё время Intel потратил много сил на разработку статического анализатора для поиска параллельных ошибок. Вы слышали про этот статический анализатор? Вот тот-то и оно, что нет. Не получилось и проект свернули. Если не получилось у Intel, я не уверен, что получится у нас.
Для статического анализа подойдут такие простейшие проверки:
1. Внутри потока все исключения, которые могут произойти должны перехватываться.
2. Явный вызов join() или detach() после порождения потока далее по контексту (STL only).
3. Передача значения по ссылке std::cref() если оно не изменяется в потоке или далее по контексту выполнения.
4. Использование lock_guard() и unique_lock() c объектами синхронизации (не везде).
5. Использование scoped_lock() если надо заблокировать несколько объектов синхронизации.
И т.д.
Статический анализ свое место под солнцем может завоевать.
Java-анализатор взаимодействует с C++ ядром при помощи Java Native Interface (JNI).
Какие задачи будет решать java-часть и почему решили не делать всё на родном для вас C++?
Поэтому и сами диагностические правила также пишутся на Java.
Штуки типа RPG кажутся весьма экзотическими, я не уверен что даже здесь есть кто-то, кто встречал это название до прочтения этой статьи. Такое надо под заказ делать… утром деньги вечером стулья, но деньги вперед:)
Я не сталкивался за свою практику с ошибками, которые бы решились такой заменой.
Элементарно:
#include <stdio.h>
void func(void *) { printf("ptr"); }
void func(int) { printf("int"); }
void main()
{
func(NULL); // WTF?! Why "int", not "ptr"?!
}
Но проблема действительно не сильно частая.
Раз уж поддержку джавы планируете, то может и котлин захватите по дороге?
Популярность котлина будет только расти со временем.
нельзя использовать комментарии /* */, следует использовать //
А почему?
/* Comment
Some_Critical_Function();
/* another comment */
Также из-за этого запрещены /* внутри комментариев.
Прошу откликнуться всех, кто голосовал за RPG. Давайте пообщаемся.
// Flamingo is an open-source cross platform program for learning languages
// Copyright (C) 2017 Sergey Zakharov
//
// This program is free software: you can redistribute it and/or modify
// it under the terms of the GNU General Public License as published by
// the Free Software Foundation, either version 3 of the License, or
// (at your option) any later version.
//
// This program is distributed in the hope that it will be useful,
// but WITHOUT ANY WARRANTY; without even the implied warranty of
// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
// GNU General Public License for more details.
//
// You should have received a copy of the GNU General Public License
// along with this program. If not, see <http://www.gnu.org/licenses/>.
//
// This is an open source non-commercial project. Dear PVS-Studio, please check it.
// PVS-Studio Static Code Analyzer for C, C++ and C#: http://www.viva64.com
Или нужно именно в начале файла перед лицензией?
Как использовать PVS-Studio бесплатно
Сделайте бесплатную версию для open-source проектов.Бесплатный PVS-Studio для тех, кто развивает открытые проекты.
Начинал на RPG || :-).
Только не простое это будет дело, я так думаю.
Фактически, RPG сегодня — это 3 (или даже 4, как считать) разных диалекта.
Я как-то пытался написать синтаксис для VIM и быстро заскучал :-).
PVS-Studio 2018: CWE, Java, RPG, macOS, Keil, IAR, MISRA