💭 🤘🏽 ⚒️ CppCat Static Analyzerの概要 👦🏽 ✂️ 🚯

最近、C ++コードの静的解析のための新しいツールがHabré- CppCatで発表されました。以前のプロジェクト（PVS-Studio）について、その著者はHabréについて長い間、詳細に語っていました。彼に対する私の態度は2つありました-一方では、もちろん静的分析が必要です。彼がいなければ、彼がいなくても良い。一方、PVS-Studioは、その規模、一種の「エンタープライズ」、そして価格で怖がっていました。約50人のプロジェクトチームがどのように購入できるかについてはよく知っていましたが、1人の開発者または約5人のチームで何ができるのか理解できませんでした。どういうわけか著者がPVSをクラウドとしてサービスとして展開し、そのアクセスを時間通りに販売することを提案したことを覚えています。しかし、彼らは独自の方法で、比較的少ないお金で機能を削減したバージョンを作成しました（そのような予算は「突破」するか、自分で購入することさえ可能です）。

ゲームがろうそくに値するかどうか見てみましょう。

インストール中にすぐに気に入らない最初のことは、Visual Studio 2005 \ 2008との統合の欠如です。いいえ、古いバージョンのスタジオには拡張用の完全に異なるAPIがあり、それをサポートするために追加の努力が必要な場合があることを理解していますが、C ++はまったく若い言語ではなく、私が遭遇したプロジェクトの多くはまだVS2008に住んでいて誰もいません四半期ごとに約12行を編集する必要がある場合、移行する予定はありません。レガシーを使用するには、まだ本格的なPVS-Studioが必要です。大丈夫。

Visual Studioとの統合におけるミニマリズムは、次の点に満足しています。2つのポイントのメニュー、1つのツールバー-これ以上。「ビルド時に解析を有効にする」DAWはデフォルトで有効になっています。なんで？私は、各ビルドの速度を落とすのではなく、たとえばリポジトリにコミットする前にプロジェクト全体を分析する方が論理的に思えます。 svn \ gitクライアントのpre-commitフックについて、静的アナライザーを使用して新しいコードをチェックすることをお勧めします。

テストの客観性のために、3つのプロジェクトを選択しました。

Notepad ++ （これは悪いコードだと思う）
ZeroMQ （これは良いサンプルコードだと思います）
私の昔の作業プロジェクトの1つ-私は何年も前に書きましたが、確かに多くの愚かな間違いがあります

Notepad ++とZeroMQが選択されたのは、両方の開発の経験がほとんどなかったためです-文字通り、あちこちのいくつかのパッチからですが、少なくともコンパイルとチェックの方法を理解する必要はありませんでした（VS2010でビルドする可能性については確信していました）。

メモ帳++

プロジェクト内の86ファイル、フルスキャンの場合は2分。 CppCatからの疑わしいコードに関する48メッセージ（ファイルあたり平均0.55メッセージ）

よくある間違いは、バイトを転送しようとしたときに、論理的な「and」とビット単位の「and」が混同されることです。

ToAscii(wParam,(lParam >> 16) && 0xff,keys,&dwReturnedValue,0); // V560. A part of conditional expression is always true/false.

負の型チェック

 WPARAM wParam ... if(wParam<0) // V547. Expression is always true/false.

インデックス「-1」の配列セルの潜在的なアドレス指定

 j=lstrlen(BGHS[SelfIndex].editstring); BGHS[SelfIndex].editstring[j-1]=0x00; // V557. Array overrun is possible.

これが間違いであることはまったく事実ではありません。その前に空の行がチェックされる可能性はありますが、ケースを期待しない方が良いと思われます。

二重割り当て。 一つのことは明らかに余分です。

 lpcs = &cs; lpcs = (LPCREATESTRUCT)lParam; // V519. The 'x' variable is assigned values twice successively. Perhaps this is a mistake.

建築条件のナンセンス。

 if(MATCH) { return returnvalue+MAX_GRIDS; } if(!MATCH)) // V560. A part of conditional expression is always true/false. { return -1; }

正しく割り当てられたメモリの誤ったチェック

 char *source = new char[docLength]; if (source == NULL) // V668. There is no sense in testing the pointer against null, as the memory was allocated using the 'new' operator. The exception will be generated in the case of memory allocation error. return;

私の個人的な統計によると、これはC ++コードで最もよくある間違いです（このプロジェクトでは24回発生します）。 Cからのメモリ割り当て関数にルーツがあり、エラー時にNULLを返しました。しかし、C ++でnew演算子を使用して「使用可能なメモリが不足していますか？」チェックする場合、std :: bad_alloc例外をキャッチし、NULLの結果をチェックする必要はありません。

過剰な妄想

 TCHAR intStr[5]; ... if (!intStr) // V600. Consider inspecting the condition. The 'Foo' pointer is always not equal to NULL.

プログラム内で、ローカルで宣言された5文字の配列へのポインターがNULLになった場合、何かがひどく落ちたので、ただ落ちるほうが良いでしょう。

同じ状態のダブルチェック

 do { ... } while(openFound.success && (styleAt == SCE_H_DOUBLESTRING || styleAt == SCE_H_DOUBLESTRING) && searchStartPoint > 0);

ここで、彼らは引用符（ダブルとシングル）を見つけようとしましたが、実際にはダブルチェックされたダブルです。 2番目のチェックをプロセスで忘れていたSCE_H_SINGLESTRINGに置き換える計画をコピーして貼り付けます。見つかった最も有用なバグの1つは、実際にはXMLパーサーのバグであり、単なる「改善アドバイス」ではありません。

間違った（私の意見では）応答

同じ条件の2つの連続したifブロック

 //Setup GUI if (!_beforeSpecialView.isPostIt) // V581. The conditional expressions of the 'if' operators situated alongside each other are identical. { ... } //Set old style if not fullscreen if (!_beforeSpecialView.isPostIt) { ... }

ここで私はCppCatに同意しません。プログラマがこのように書くことにした理由を誰が知っていますか？コードは有効で、うまく機能しています。「削除するのを忘れた！」という間違いはあり得ません。そうでなければ、「その他」があるからです。まさにそのような設計コード。

いくつかのエラー「「&&」操作の優先度は「||」の優先度よりも高い操作»

 printPage = (!(_pdlg.Flags & PD_PAGENUMS) || (pageNum >= _pdlg.nFromPage) && (pageNum <= _pdlg.nToPage));

CppCatは、プログラマは操作の優先順位を知らないと固く信じています。この場合、意味とハイフネーションの両方で、プログラマーが自分が何をしていたかを知っていたことは明らかです。もちろん、「明示的は暗黙的よりも優れています」が、エラーはありません。

アナライザーは、他のコンパイルキーでは意味のないコードが意味をなすとは想定していません。

 if (unicodeSupported) ::DispatchMessageW(&msg); else // V523. The 'then' statement is equivalent to the 'else' statement ::DispatchMessage(&msg);

これは、「＃define DispatchMessage DispatchMessageW」が以前に記述されたためです。しかし、ここにあります-この置換は条件付きコンパイルマクロによって有効になります。この場合、コードは実際には意味がありませんが、他のキーを使用してプロジェクトをコンパイルすると、DispatchMessageはDispatchMessageAを指します。これはコードが意味をなすことを意味します。

もちろん、欠点があります。「他にどのようなコンパイルオプションがあるのか」を推測するために静的アナライザーを要求するのは不公平です。しかし、それについて考えるプログラマからは害はありません。

メモ帳++出力

私の意見では、48のエラーメッセージのうち、約38が注意とコードの一部の変更に本当に値します。これらのうち、30箇所は明らかなバグであり、8箇所は便利ですが、オプションのスタイル変更です。コードロジックのコンテキストでは、CppCatからの10件の投稿をfalseと見なします。全体的に-悪くない。

ZeroMq

72ファイル、1分間の分析。

疑わしい場所が1つだけ見つかりました。そして、それは実際には間違っています。

 rc = pipe_->write (&probe_msg_); // zmq_assert (rc) is not applicable here, since it is not a bug. pipe_->flush (); rc = probe_msg_.close (); // V519. The 'x' variable is assigned values twice successively. Perhaps this is a mistake.

アナライザーは、最初と2番目の割り当ての間に貧弱なrcを必要とする人がいないという事実に動揺しています。はい、必要ありません。しかし、結局のところ：

デバッグ中にブレークポイントを設定し、それが等しいかどうかを確認すると便利です。
ここにrcチェックが以前にあった（またはあった可能性がある）ことを示すコメントがあります。彼はまた、このチェックは絶対に必要ではないと言います。

もちろん、アナライザーはコメントを読む義務はないため、ここですべてが問題ない理由はわかりません。

ZeroMqの結論

コード内の疑わしい場所に関する有用なメッセージは1つではありません。まあ、最初から、このライブラリのコードについて非常に高い意見があると言った。

私のプロジェクト

420ファイル（8つのサブプロジェクト）、分析に9分、99の警告。これは、ファイルあたり平均0.23警告です。

タイプstd ::リストの使用における愚かな間違い

 void CHttpDownloaderBase::GetResponseHeader(const std::string& strHeaderName, std::list<std::string>& listValues) const { listValues.empty(); // V530. The return value of function 'Foo' is required to be utilized. ...

混乱は、一部のフレームワークでは、空のコンテナタイプメソッドが実際にコンテナをクリアすることです。しかし、std ::リストの場合、これは単なる無効チェックです。クリア（）に置き換える必要があります

最初の使用後のポインターの確認

 const char *xml_attr(xml_t* xml, const char *attr) { ... const char *name = xml->name; if (! xml || ! xml->attr) // V595. The pointer was utilized before it was verified against nullptr. return NULL;

未定義の動作

 while (*(n = ++s + strspn(s, XML_WS))) // V567. Undefined behavior. The variable is modified while being used twice between sequence points. {...}

実際、VS2010のC ++コンパイラでは、このコードは意図したとおりに機能します。しかし、正式には-はい、標準では「不定の動作」と書かれています。それを修正する方が良い。

悪名高い運用上の優先事項

 if (!text[++r] == '\\') // V562. It's odd to compare a bool type value with a value of N. { break; } if (!text[++r] == 'u') // V562. It's odd to compare a bool type value with a value of N. { break; }

演算子「！」は簡単です「==」よりも優先度が高い

ポインター演算

 TCHAR *ch = path + lstrlen(path) - 1; // V532. Consider inspecting the statement of '*pointer++' pattern. Probably meant: '(*pointer)++'. while (*ch && *ch != '\\') *ch--;

ポインターごとに値を変更したいというCppCatの提案は間違っています。ポインター自体を変更したかったのです。それにもかかわらず、このメッセージにはいくつかの利点があります。これは、ポインターによって値を取得するという不必要な操作を示します-「*」。ここでは使用されていません。つまり、単に「ch--」と書くことができます。

追加条件

 while (*p1 != 0 && *p1 == _T(' ')) // V590. Consider inspecting this expression. The expression is excessive or contains a misprint. p1++;

簡単です-p1とスペースを比較する場合、最初のチェックは必要ありません。

追加操作

  m_dwInPartPos = 0; m_pcOutData = NULL; ... m_dwInPartPos = 0; // V519. The 'x' variable is assigned values twice successively.

その列挙ではありません

 if (type == eRT_unk) // V556. The values of different enum types are compared. return false;

C ++の最大の悲しみの1つは（少なくとも、新しい標準で列挙型クラスが出現するまで）、列挙型は実際には独立したエンティティではなく、数値のセットであるということです。 1つの列挙にeRt_unkがあり、2番目の列挙にeResourceUnknownがあるので、両方とも0に等しいことが幸運でした。

さて、そしてジャンルの古典なしでどこに：==の代わりに=

 if (scheme == ZLIB_COMPRESSION) out.push(boost::iostreams::zlib_compressor()); else if (scheme = GZIP_COMPRESSION) out.push(boost::iostreams::gzip_compressor()); // V559. Suspicious assignment inside the condition expression of 'if/while/for' operator.

まあ、私は何を言うことができます-愚かな間違い、言い訳はありません。

誤検知

配列の境界を越える

 int len = lstrlen(szLogDir); TCHAR ch = szLogDir[len-1]; // V557. Array overrun is possible.

実際、len変数は「> 0」ではチェックされませんが、コードのすぐ上で、szLogDir文字列自体が非voidであるかどうかがチェックされます。 2番目のチェックでは、信頼性は追加されません。

疑わしい機能不全

私のコードでそのような部分を見つけました：

 if (m_packets[i] != NULL) delete m_packets[i];

私の意見では、このような場合のPVS-StudioはNULLを削除しても安全であると言っていましたが、CppCatはそれについて何も言いませんでした。

私のプロジェクトの結論

99の警告のうち、約65がケースに含まれていて、バグの分散とコードの単なる「改善」は約50/50でした。

結論

長所

シンプルさ
価格
実際のバグを見つけます

短所

VS2005との統合の欠如\ VS2008
誤検知のある程度の割合

マイナスかもしれませんが、違います！

64ビットチェックのサポートの欠如。

PVS-Studioの開発者が常に彼らに集中している理由を理解できませんでした。 Windows x64では、プログラムの32ビットビルドが機能するため、64ビットバージョンを作成するという問題は、ドライバーを記述する必要がある場合、またはプログラムが3 GBを超えるRAMを必要とする場合に最も頻繁に発生します。私の統計では、これはプロジェクトの約10〜15％です。

MsBuildなどとの統合の欠如

リポジトリにコミットする前に、コードを手動で確認することは論理的に思えます。すべてのビルドではなく（ゆっくり）、ビルドサーバーではなく（インタラクティブではありません）、そのように。それほど時間はかからず、同僚の前で恥をかくことはありません。便利です。

プラスになるかもしれませんが、違います！

設定の禁欲

CppCatは非常に厳しいことが判明しました。十分な柔軟性はありません。ファイル、フォルダー、ファイルの特定の行をスキャンから除外できます。しかし、ファイルの一部を除外する方法は？特定のエラーまたはエラークラスのチェックを無効にする方法そして、グローバルではない場合、しかしファイルの一部のために？これは不可能か、ほとんどドキュメントを読んでいません。

ウィッシュリスト

ホテル1

検証から除外された警告に関する情報をコードへのコメントではなく、リポジトリへのコミットから除外できる外部ファイルのどこかに保存できると便利です。すべての同僚が同じ静的分析ツールを使用できるわけではなく、コード内の「//-V：is_test_ok＆=：501」のようなコードのコードを読んで、その目的に驚かされるのは面倒です。

ホテレカ2

警告コンテキストメニューに[コピー]オプションと[Ctrl] + [V]ホットキーを追加すると便利です。これらの警告をリポジトリへのコミットのコメントテキストにコピーすると非常に便利です。もちろん、ドキュメントを開いてそこからタイトルをコピーできます-しかし、テキストはそこで一般化され、検証の結果はコード内の特定の行を示し、変数の名前は便利で理解しやすいものです。

最終的な結論

CppCatの良い点は、購入ツールに価値があるかどうかを計算しやすいことです。 Habréに関する最近のレビューから、平均的なC ++プログラマの平均給与を取り上げましょう：80,000ルーブル（$ 2,370）。だから彼の仕事の1時間は約14ドルかかります。上記のバグに似たバグを見つけて修正する（そして、探しているものが正確にわからない場合でも）作業は最低1時間かかることに同意すると思います。 CppCatの費用は250ドルです。これは17時間の仕事のようなものです。プロジェクトでバグ修正に17時間以上費やすことを計画している場合（および計画しているプロジェクトが少ない場合）、購入は正当化されます。

一般に、小さなプロジェクトと個々の開発者の面倒を見てくれたCppCatの作者に感謝します。ウィッシュリストの実装とVS2008との統合を期待しています。

CppCat Static Analyzerの概要