PVS-Studio 7.04

    Picture 4

    Лето — не только сезон отпусков, но и время плодотворной работы. Солнечные дни так сильно заряжают энергией, что хватает сил и на поздние прогулки, и объёмные коммиты кода. Второй летний релиз PVS-Studio 7.04 получился достаточно большой, поэтому предлагаем вашему вниманию пресс-релиз, в котором обо всём и расскажем.

    PVS-Studio — это инструмент для выявления ошибок и потенциальных уязвимостей в исходном коде программ, написанных на языках С, C++, C# и Java. Работает в среде Windows, Linux и macOS.

    Возможности анализатора хорошо демонстрирует обширная коллекция ошибок в коде, найденных нами в процессе проверки различных отрытых проектов.

    Предлагаем вашему вниманию обзор новых возможностей, вошедших в релиз PVS-Studio 7.04.

    Поиск файлов с Copyleft-лицензиями


    Разработчики откуда только не берут код, работая над поставленной задачей. Популярным источником Copy-Paste-кода является сайт Stackoverflow и ему подобные. Но возможны и ситуации, когда программист берёт код из Open Source проекта и не проверяет требования лицензии. Таким образом, в проект с закрытым исходным кодом может случайно попасть несколько файлов из Open Source проекта с Copyleft-лицензией, т.е. обязывающей делать весь код проекта публичным. В компаниях с большим количеством сотрудников за этим сложно уследить, а риски и проблемы могут быть серьёзными из-за таких действий. Так, в PVS-Studio для всех поддерживаемых языков (C, C++, C#, Java) появилась диагностика, которая поможет найти такие файлы.

    Номера диагностик для разных языков:


    Давайте остановимся на этих диагностиках чуть подробнее и разберём, для чего они сделаны. Пример комментария, на который анализатор выдаст предупреждение:

    /*  This program is free software: you can redistribute it and/or modify
     *  it under the terms of the GNU General Public License as published by
     *  the Free Software Foundation, either version 3 of the License, or
     *  (at your option) any later version.
     *
     *  This program is distributed in the hope that it will be useful,
     *  but WITHOUT ANY WARRANTY; without even the implied warranty of
     *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
     *  GNU General Public License for more details.
     *
     *  You should have received a copy of the GNU General Public License
     *  along with this program.  If not, see <https://www.gnu.org/licenses/>.
     */

    Для закрытых проектов


    Если в закрытый проект добавить файл с такой лицензией (GPL3 в данном случае), то остальной исходный код необходимо будет открыть, из-за особенностей данной лицензии.

    Такой тип copyleft лицензий называют "вирусными" лицензиями, из-за их свойства распространяться на остальные файлы проекта. Проблема в том, что использование хотя бы одного файла с подобной лицензией в закрытом проекте автоматически делает весь исходный код открытым и обязывает распространять его вместе с бинарными файлами.

    Диагностика занимается поиском следующих «вирусных» лицензий:

    • AGPL-3.0
    • GPL-2.0
    • GPL-3.0
    • LGPL-3.0

    Есть следующие варианты, как вы можете поступить, обнаружив в закрытым проекте использование файлов с copyleft лицензией:

    1. Отказаться от использования данного кода (библиотеки) в своём проекте;
    2. Заменить используемую библиотеку;
    3. Сделать свой проект открытым.

    Для открытых проектов


    Мы понимаем, что данная диагностика неуместна для открытых проектов. Команда PVS-Studio способствует развитию открытых проектов, помогает исправлять в них ошибки и предоставляет бесплатные варианты лицензий. Однако, наш продукт является B2B решением и поэтому данная диагностика по умолчанию включена.

    Если же ваш код распространяется под одной из указанных выше copyleft лицензий, то вы можете отключить данную диагностику следующими способами (для С\С++ это V1042):

    • Если вы используете плагин PVS-Studio для Visual Studio, то, перейдя в Options > PVS-Studio > Detectable Errors > 1.General Analysis > V1042 можно отключить отображение данной диагностики в окне вывода анализатора. Минус данного способа в том, что ошибка всё равно будет записана в лог анализатора при его сохранении (или если анализ запускался из командной строки). Поэтому, при открытии такого лога на другой машине или конвертации результатов анализа в другой формат, отключенные таким образом сообщения могут появиться снова.
    • Если вы не используете плагин, хотите блокировать правило для всей команды или убрать сообщения его из отчёта анализатора, то можно добавить комментарий "//-V::1042" в файл конфигурации (.pvsconfig) или в один из глобальных заголовочных файлов. Для разработчиков, использующих Visual C++, хорошим вариантом будет добавить этот комментарий в файл «stdafx.h». Этот комментарий указывает анализатору отключить диагностику V1042. Подробнее об отключении диагностик с помощью комментариев рассказано в документации.
    • Если для конвертации отчётов используется утилита Plog Converter, то можно отключить диагностику, используя ключ "-d".

    Для C# соответственно имеется в виду V3144, а для Java — V6071.

    Пополнение списка опасных лицензий


    Если вам известны ещё типы «вирусных» лицензий, которые в данный момент не выявляет инструмент, то вы можете сообщить нам о них через форму обратной связи. И мы добавим их выявление в следующем релизе.

    Новые диагностики


    C, C++ (General)


    • V1040. Possible typo in the spelling of a pre-defined macro name.
    • V1041. Class member is initialized with dangling reference.
    • V1042. This file is marked with copyleft license, which requires you to open the derived source code.
    • V1043. A global object variable is declared in the header. Multiple copies of it will be created in all translation units that include this header file.

    Отдельно хочется отметить диагностику с номером V1040. Ещё в статусе беты она уже нашла интересную ошибку в библиотеке всем известного проекта CMake:

    V1040 Possible typo in the spelling of a pre-defined macro name. The '__MINGW32_' macro is similar to '__MINGW32__'. winapi.h 4112

    /* from winternl.h */
    #if !defined(__UNICODE_STRING_DEFINED) && defined(__MINGW32_)
    #define __UNICODE_STRING_DEFINED
    #endif

    Здесь допустили опечатку в имени __MINGW32_. В конце не хватает одного символа подчёркивания. Если сделать поиск по коду с этим именем, то можно убедиться, что в проекте действительно используют версию именно с двумя подчёркиваниями с двух сторон:

    Picture 8

    Посмотреть все найденные ошибки в проекте CMake можно в статье "CMake: тот случай, когда проекту непростительно качество его кода".

    C, C++ (MISRA)


    • V2551. MISRA. Variable should be declared in a scope that minimizes its visibility.
    • V2552. MISRA. Expressions with enum underlying type should have values corresponding to the enumerators of the enumeration.
    • V2553. MISRA. Unary minus operator should not be applied to an expression of the unsigned type.
    • V2554. MISRA. Expression containing increment (++) or decrement (--) should not have other side effects.
    • V2555. MISRA. Incorrect shifting expression.
    • V2556. MISRA. Use of a pointer to FILE when the associated stream has already been closed.
    • V2557. MISRA. Operand of sizeof() operator should not have other side effects.

    C#


    • V3140. Property accessors use different backing fields.
    • V3141. Expression under 'throw' is a potential null, which can lead to NullReferenceException.
    • V3142. Unreachable code detected. It is possible that an error is present.
    • V3143. The 'value' parameter is rewritten inside a property setter, and is not used after that.
    • V3144. This file is marked with copyleft license, which requires you to open the derived source code.
    • V3145. Unsafe dereference of a WeakReference target. The object could have been garbage collected before the 'Target' property was accessed.

    Также в C# анализаторе добавлено вычисление возвращаемых\записываемых значений из get и set методов доступа свойств и async методов.

    Сейчас мы работаем над улучшением отслеживания значений полей и свойств у объектов при передаче их в методы, а также отслеживанием содержимого кортежей. Эти улучшения будут доступны в следующем релизе анализатора.

    Java


    • V6068. Suspicious use of BigDecimal class.
    • V6069. Unsigned right shift assignment of negative 'byte' / 'short' value.
    • V6070. Unsafe synchronization on an object.
    • V6071. This file is marked with copyleft license, which requires you to open the derived source code.

    SonarQube 7.9 LTS


    Долгожданный релиз


    Почти 2 года прошло с момента последнего релиза LTS-версии SonarQube 6.7. Новую версию с особым рвением ждали, начиная с SQ 7.x, и, когда состоялся релиз LTS, пользователи начали активно переходить на неё, что повлекло разные проблемы. Вскоре вышел SQ 7.9.1 LTS с небольшими исправлениями, и разработчики сторонних плагинов тоже подготовили патчи.

    К счастью, в плагине PVS-Studio возникла всего одна небольшая проблема, связанная с переходом на Java 11, которую мы оперативно исправили, и наши клиенты сразу перешли на работоспособную версию.

    Также мы сохранили совместимость со старыми версиями SonarQube, и список поддерживаемых версий сейчас выглядит так: SonarQube 6.7 LTS и выше.

    Поддержано больше языковых плагинов


    Плагин PVS-Studio выполняет только конвертацию результатов анализа в формат базы данных SonarQube. Другими словами, просто загружает результаты анализа PVS-Studuio в SQ. Но для полноценной работы утилиты SonarScanner должны быть установлены плагины для языков программирования. Мы не стали разрабатывать то, что уже существует, поэтому просто добавляем поддержку уже существующих популярных плагинов. В этой версии мы добавили совместимость с языковыми плагинами Sonar C Community и SonarCFamily.

    Весь список поддерживаемых языковых плагинов выглядит так:


    Для загрузки результатов анализа PVS-Studio достаточно установить хотя бы один плагин из этого списка. Большинству пользователей достаточно установить только Sonar C++ Community, SonarC# или SonarJava. Остальные плагины могут понадобиться для более специфичных проектов.

    При выборе плагинов необходимо учесть тот факт, что Community-плагины не совместимы с SonarCFamily. Но если вы используете только SonarQube Community Edition, то такой проблемы не возникнет.

    Новая страница настроек


    Ранее настраивать анализатор можно было только через конфигурационный файл sonar-project.properties. К этому способу никаких претензий нет. Он очень удобный и используется в 99% случаев, но мы дополнительно сделали страницу настроек в Administration > Configuration > PVS-Studio на сервере SonarQube, т.к. этим тоже удобно пользоваться в некоторых сценариях.

    Страница настроек выглядит так:

    Picture 10

    При задании настроек двумя способами, приоритетными являются те, что указаны в файле sonar-project.properties.

    Плагин для IntelliJ IDEA


    Релизы новых версий IntelliJ IDEA и PVS-Studio отличаются по датам, и недавно возникла ситуация, когда вышла IntelliJ IDEA 192.*, а плагин PVS-Studio на ней не устанавливался. В этом релизе мы добавили поддержку последней версии IntelliJ IDEA, а также сделали доработки, чтобы избежать подобных проблем в будущем.

    Плагины для Jenkins


    PVS-Studio Plugin

    PVS-Studio Plugin предназначен для публикации результатов работы анализатора PVS-Studio в системе непрерывной интеграции Jenkins в формате HTML. Ранее этот плагин был доступен только пользователям Windows, т.к. вызывал конвертер отчёта автоматически и делал это только для Windows. В PVS-Studio 7.04 плагин поддерживает только HTML-отчёты, которые необходимо сгенерировать отдельным шагом, но это позволило сделать плагин кросс-платформенным.

    Warnings NG Plugin

    Для Jenkins существует полезный плагин Warnings Next Generation Plugin для просмотра результатов анализа от разных инструментов. Недавно мы добавили поддержку PVS-Studio в нём. Возможность загружать результаты анализа PVS-Studio с помощью этого плагина стала доступна в версии 6.0.0, релиз которой случайно совпал с релизом PVS-Studio 7.04:

    Picture 1

    Прочие улучшения


    PVS-Studio_Cmd

    В PVS-Studio_Cmd.exe был добавлен специальный режим работы — credentials. Этот режим позволит создавать файл настроек и вводить лицензионную информацию без использования GUI интерфейса (например, плагина для Visual Studio или утилиты C and C++ Compiler Monitoring UI). Особенно актуален этот режим при использовании на сборочном сервере (где может не быть описанных GUI утилит), в контейнерах, при интеграции с облачными решениями.

    Анализ Unreal Engine проектов

    В плагине PVS-Studio для Visual Studio была добавлена опция AutoloadUnrealEngineLog, включение которой позволяет автоматически загружать отчёт анализатора в окно вывода PVS-Studio после прохождения анализа. Без этой опции загрузку лога необходимо делать вручную через меню плагина.

    Также в разделе документации "Проверка Unreal Engine проектов" были описаны изменения стандартных сборочных скриптов, которые позволят проводить сборку и анализ в одно действие. Без модификации скриптов (при добавлении флага -StaticAnalyzer=PVSStudio к аргументам запуска) проводится только анализ проекта, без выполнения его сборки.

    CLMonitor

    Для утилиты CLMonitor была добавлена возможность отслеживания запусков компилятора для конкретного процесса. Это позволит отслеживать запуски компиляторов, относящихся только к конкретному проекту, даже при параллельной сборке нескольких проектов. Для работы в таком режиме используются флаги --parentProcessID %PID% (CLMonitor отслеживает процессы, дочерние относительно указанного) и --attach (CLMonitor отслеживает процессы, дочерние относительно текущей консоли).

    pvs-studio-analyzer

    В утилиту pvs-studio-analyzer, которая предназначена для проверки проектов в Linux и macOS, добавлен флаг --ignore-ccache:

    pvs-studio-analyzer analyze ... --ignore-ccache ...

    Если в сборке проекта используется утилита ccache, то PVS-Studio работает в режиме инкрементального анализа. Чтобы проверить проект полностью, не сбрасывая кэш утилиты ccache, используйте этот флаг.

    Дополнительные ссылки


    Чтобы быть в курсе наших новых публикаций, приглашаем подписаться на нас:

    1. Twitter: pvsstudio_rus
    2. ВКонтакте: Анализатор PVS-Studio
    3. Facebook: @StaticCodeAnalyzer
    4. Instagram: @pvsstudio_rus
    5. Telegram: PVS-Studio rus
    6. RSS: viva64-blog-ru

    PVS-Studio:

    1. Страница продукта
    2. Скачать
    3. Документация
    4. Клиенты



    Если хотите поделиться этой статьей с англоязычной аудиторией, то прошу использовать ссылку на перевод: Svyatoslav Razmyslov. PVS-Studio 7.04.
    PVS-Studio
    795,59
    Static Code Analysis for C, C++, C# and Java
    Поделиться публикацией

    Комментарии 5

      +7
      наш продукт является B2B решением и поэтому данная диагностика по умолчанию включена.

      У вас так же есть лицензия для разработчиков открытых проектов, можно, к примеру, для неё по-умолчанию выключить.
      Ещё можно искать в корне проекта есть файл LICENSE с вирусной открытой лицензией, если он есть, то тоже выключать.


      Эти эвристики, вероятно, покроют довольно большую часть случаев, когда такая диагностика не нужна.

        +1
        Хороший продукт, но цена кусается даже для больших компаний. Надеюсь у вас, что-то изменится в будущем в плане лицензирования.

        Например конкретный язык, на конкретной платформе в нужном количестве. Мы хотя бы в pipeline gitlab смогли бы поставить. Чтобы не ставить на каждую тачку разработчика и хоть как-то удешевить лицензию.
          0
          Спасибо. А что подразумевается под небольшой компанией?
          Чтобы не ставить на каждую тачку разработчика и хоть как-то удешевить лицензию.
          Это противоречит нашему пониманию, что пользу от анализатора получает команда (проект) в целом. И не важно, стоит версия только на сервере или у всех разработчиков.

          P.S. Быть может вам подойдёт один из вариантов бесплатного лицензирования?
            +1
            В коммерческой организации можно использовать community версию?
            Это противоречит нашему пониманию, что пользу от анализатора получает команда (проект) в целом.
            Польза будет разработчик не зальет код в общую ветку. Но, я с вами согласен эффективность будет меньше.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое