PVS-Studioを使用したHaikuオペレーティングシステム（BeOSファミリー）の確認。 パート2

これは、Haikuオペレーティングシステムのチェックに関する最終記事です。 最初の記事では、さまざまなタイプの診断で発生する可能性のあるエラーが収集されましたが、何らかの方法で状態の検証に関連していました。 この記事では、分析したい残りのアナライザー警告について説明します。 収集された例は、いくつかのグループに分けられます。



Haikuは、BeOSオペレーティングシステムとのバイナリ互換性を対象とした無料のパーソナルコンピューターオペレーティングシステムです。 HaikuはBeOSのコアアイデアを体現しています。 これは、ハイブリッドコアとしてアーキテクチャ的に設計されたモジュラーシステムです。必要なモジュールを動的にロードできるマイクロカーネルアーキテクチャです。



プロジェクトは、 PVS-Studio 5.24を使用してHaikuユーザーコミュニティのリクエストでテストされました。

文字列を操作する

V527 「\ 0」値が「char」型ポインターに割り当てられるのは奇妙です。 おそらく意味：* scratchPtr = '\ 0'。 TextGapBuffer.cpp 228

const char* TextGapBuffer::Text() { const char* realText = RealText(); if (fPasswordMode) { .... char* scratchPtr = fScratchBuffer; for (uint32 i = 0; i < numChars; i++) { memcpy(scratchPtr, B_UTF8_BULLET, bulletCharLen); scratchPtr += bulletCharLen; } scratchPtr = '\0'; //<== return fScratchBuffer; } return realText; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最も可能性が高いのは、文字列を操作した後、ポインターをリセットせずに、文字列の末尾に終端ゼロを書き込むことでした。 正しいオプションは「* scratchPtr = '\ 0';」です。



V692文字列にヌル文字を追加しようとする不適切な試み。 'strlen'関数によって文字列の長さを正しく判断するには、最初にヌルターミネータで終わる文字列を使用する必要があります。 PoorManWindow.cpp 254

 void PoorManWindow::MessageReceived(BMessage* message) { .... if (inet_ntop(AF_INET, &sin_addr, addr, sizeof(addr)) != NULL){ addr[strlen(addr)] = '\0'; //<== line << '(' << addr << ") "; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

行末に端末ゼロを書き込むために、strlen（）関数を使用しましたが、strlen（）関数が機能するために行は端末ゼロで終了するため、このアクションの結果は予測できません。 0が見つかったセルだけにゼロが書き込まれると同時に、strlen（）関数がバッファをはるかに超えてしまい、プログラムの動作が未定義になる可能性があります。 コードを修正するには、他の方法で文字列の長さを計算する必要があります。

悪いサイクル

V529奇数セミコロン ';' 「for」演算子の後。 ringqueue.cpp 39

 int compute_order(unsigned long size) { int order; unsigned long tmp; for (order = 0, tmp = size; tmp >>= 1; ++order); //<== if (size & ~(1 << order)) ++order; return order; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この関数には何か問題があります。最後にセミコロンがあるため、ボディのないループ。 コードのフォーマットは、条件がループの本体にあることを示します。 一方、変数「tmp」はまだどこでも使用されません。



たぶん、彼らはこれをしたかったです：

 int compute_order(unsigned long size) { int order; unsigned long tmp; for (order = 0, tmp = size; tmp >>= 1; ++order) if (tmp & ~(1 << order)) ++order; return order; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ただし、本体のfor（;;）ループカウンターを変更するのはあまり良いスタイルではありません。



V535変数 'k'は、このループと外側のループに使用されています。 行を確認してください：3598、3610。rules.c 3610

 void solver_get_unneeded(Solver *solv, Queue *unneededq, int filtered) { .... if (dep_possible(solv, *dp, &installedm)) { Queue iq; Id iqbuf[16]; queue_init_buffer(&iq, iqbuf, sizeof(iqbuf)/sizeof(*iqbuf)); dep_pkgcheck(solv, *dp, 0, &iq); for (k = 0; k < iq.count; k++) //<== { Id p = iq.elements[k]; Solvable *sp = pool->solvables + p; if (....) continue; for (j = 0; j < count; j++) if (p == unneededq->elements[j]) break; /* now add edge from j + 1 to i + 1 */ queue_insert(....); /* addapt following edge pointers */ for (k = j + 2; k < count + 2; k++) //<== edges.elements[k]++; } queue_free(&iq); } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コードのフォーマットが非常に悪いため、エラーがある場合は、このために間違いなく作成されています。 ネストされたfor（;;）ループで1つのカウンターを使用するのは悪いスタイルです。



同様の場所：

• V535変数 'i'は、このループと外側のループに使用されています。 行を確認：2319、2349。solver.c 2349

V634 「*」操作の優先順位は、「<<」操作の優先順位よりも高くなっています。 式で括弧を使用する必要がある場合があります。 RAW.cpp 1141

 void DCRaw::_WaveletDenoise() { .... for (i = 0; i < (1 << dim * 2); i++) { //<== if (fimg[i] < -fThreshold) fimg[i] += fThreshold; else if (fimg[i] > fThreshold) fimg[i] -= fThreshold; else fimg[i] = 0; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

乗算の演算は、シフトの演算よりも優先度が高くなります。 ここでどのように計画されたかは不明であるため、苦痛を明確にするために括弧を使用して操作の順序を確認および決定する必要があります。



同様の場所：

• V634「*」操作の優先順位は、「<<」操作の優先順位よりも高くなっています。 式で括弧を使用する必要がある場合があります。 RAW.cpp 1099

V696 「continue」演算子は、条件が常にfalseであるため、「do {...} while（FALSE）」ループを終了します。 行を確認してください：1939、1945。Roster.cpp 1939

 status_t BRoster::_LaunchApp(....) const { .... do { // find the app .... if (appType.InitCheck() == B_OK && appType.GetAppHint(&hintRef) == B_OK && appRef == hintRef) { appType.SetAppHint(NULL); // try again continue; } ... } while (false); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

「do {...} while（...）」ループの「continue」ステートメントは、ループを停止する条件の計算に移行するため、常にfalseです。本質的に、これはループからの無条件の終了であり、「try again」というコメントは誤解を招くだけです。



V706疑わしい区分：sizeof（kBaudrates）/ sizeof（char *）。 'kBaudrates'配列のすべての要素のサイズが除数に等しくありません。 SerialWindow.cpp 162

 const int SerialWindow::kBaudrates[] = { 50, 75, 110, .... }; SerialWindow::SerialWindow() : .... { .... for(int i = sizeof(kBaudrates) / sizeof(char*); --i >= 0;)//<== { message = new BMessage(kMsgSettings); message->AddInt32("baudrate", kBaudrateConstants[i]); char buffer[7]; sprintf(buffer, "%d", kBaudrates[i]); //<== BMenuItem* item = new BMenuItem(buffer, message); fBaudrateMenu->AddItem(item); } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

配列 'kBaudrates'の要素数を取得するには、何らかの理由で、そのサイズをポインターのサイズで除算します。最終的に、配列全体が32ビットシステムでインデックス付けされ、64ビットシステムでは半分のみがインデックス付けされます。

配列

V548型キャストの検討を検討してください。 TYPE ** Xと同等ではないTYPE X [] [] RAW.cpp 1668

 void DCRaw::_AdobeCoefficients(const char *make, const char *model) { static const struct { const char *prefix; short black, trans[12]; } table[] = { { "Canon EOS D2000", 0, { 24542,-10860,-3401,-1490,11370,-297,2858,-605,3225 }}, { "Canon EOS D6000", 0, { 20482,-7172,-3125,-1033,10410,-285,2542,226,3136 }}, .... }; double cameraXYZ[4][3]; for (uint32 i = 0; i < sizeof table / sizeof *table; i++) { if (!strncasecmp(model, table[i].prefix, strlen(....))) { if (table[i].black) fMeta.black = table[i].black; for (uint32 j = 0; j < 12; j++) { ((double**)cameraXYZ)[0][j] = table[i].trans[j] /10000.0; } _CameraXYZCoefficients(cameraXYZ); break; } } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

「double cameraXYZ [4] [3]」として宣言された配列「cameraXYZ」は、タイプ「double **」にキャストされます。 この型キャストはおそらく意味がなく、エラーを引き起こす可能性があります。



タイプ「タイプ[a] [b]」および「タイプ**」は、異なるデータ構造を表します。 タイプ[a] [b]は、2次元配列として使用できる単一のメモリです。 タイプ**は、メモリのいくつかのセクションへのポインターの配列です。



V554 auto_ptrの誤った使用。 「new []」で割り当てられたメモリは、「delete」を使用して消去されます。 DefaultCatalog.cpp 208

 status_t DefaultCatalog::ReadFromFile(const char *path) { .... auto_ptr<char> buf(new(std::nothrow) char [sz]); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アナライザーは、スマートポインターを使用すると未定義の動作が発生する可能性がある状況を検出しました。 クラス「auto_ptr」は配列で動作するようには設計されていません;演算子「delete」を使用してメモリを解放します。「delete []」を指定すると、コードはコンパイルされません。



正しいコード例：

 status_t DefaultCatalog::ReadFromFile(const char *path) { .... unique_ptr<char[]> buf(new(std::nothrow) char[sz]); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このような別の場所：

• V554 auto_ptrの誤った使用。 「new []」で割り当てられたメモリは、「delete」を使用して消去されます。 DefaultCatalog.cpp 249

V557配列のオーバーランが可能です。 「8」インデックスは、配列の境界を超えています。 floppy_ctrl.c 637

V557配列のオーバーランが可能です。 「9」インデックスは配列の境界を超えています。 floppy_ctrl.c 638

 typedef struct floppy { .... uint8 result[8]; /* status of the last finished command */ .... }; void floppy_dump_reg(floppy_t *flp) { .... //uint8 result[10]; //<== This was correct! uint8 *result = flp->result; //<== Bad fix! :) .... dprintf(FLO "gap=%d wg=%d eis=%d fifo=%d poll=%d thresh=%d pretrk=%d\n", (result[7] & 0x02) >> 1, result[7] & 0x01, (result[8] & 0x40) >> 6, (result[8] & 0x20) >> 5, (result[8] & 0x10) >> 4, result[8] & 0x0f, result[9]); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2つのアナライザー警告は、配列のオーバーフローを示します。 コメントアウトされたコードから判断すると、配列 'result []'が10個の要素で構成され、編集後は8個の要素になりました。 同時に、コードは0〜9のインデックスを持つ配列の10個の要素にアクセスします。

変数名

V672ここで新しい「パス」変数を​​作成する必要はおそらくないでしょう。 関数の引数の1つが同じ名前を持ち、この引数は参照です。 行を確認してください：348、429。translate.cpp 429

 status_t Translator::FindPath(const translation_format *format, BPositionIO &stream, TypeList &typesSeen, TypeList &path, ....) { .... TypeList path; double quality; if (FindPath(...) == B_OK) { if (bestQuality < quality * formatQuality) { bestQuality = quality * formatQuality; bestPath.SetTo(path); bestPath.Add(formats[j].type); status = B_OK; } } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ローカル変数「パス」の名前と関数のパラメーター（特にこの場合のようにリンク）が一致すると、この変数のローカル変更が失われたり、他の論理エラーが発生したりする可能性があります。



V711このループを制御する変数と同じ名前のループ内にローカル変数を作成することは危険です。 ipv4.cpp 514

 static int dump_ipv4_multicast(int argc, char** argv) { MulticastState::Iterator it = sMulticastState->GetIterator(); while (it.HasNext()) { .... int count = 0; IPv4GroupInterface::AddressSet::Iterator it = state->Sources().GetIterator(); while (it.HasNext()) { .... } kprintf("}> sock %p\n", state->Parent()->Socket()); } return 0; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ループの制御に使用される変数に一致する変数 'it'の宣言がループの本文で見つかりました。 そのようなコードには、永遠のサイクルを受け取るまでの論理エラーが含まれる場合があります。

メモリを操作する

V597コンパイラーは、「パスワード」バッファーのフラッシュに使用される「memset」関数呼び出しを削除できました。 RtlSecureZeroMemory（）関数を使用して、プライベートデータを消去する必要があります。 login.cpp 126

 static status_t login(const char* user, struct passwd** _passwd) { .... bool ok = verify_password(passwd, spwd, password); memset(password, 0, sizeof(password)); if (!ok) return B_PERMISSION_DENIED; *_passwd = passwd; return B_OK; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

残念ながら、上記のコードはパスワードをクリーンにしないままにする可能性があります。 「パスワード」配列は最後にクリアされ、使用されないことに注意してください。 したがって、プログラムのリリースバージョンをビルドする場合、コンパイラはほとんどの場合、memset（）関数呼び出しを削除します。 コンパイラにはこれを行うすべての権利があります。 アナライザーはWindows用の関数を使用することを推奨していますが、このオペレーティングシステムでは、コンパイラーの最適化を回避する別の方法を見つける必要があります。



より危険な場所：

• V597コンパイラーは、「finalcount」バッファーのフラッシュに使用される「memset」関数呼び出しを削除できました。 RtlSecureZeroMemory（）関数を使用して、プライベートデータを消去する必要があります。 sha1.c 228
• V597コンパイラーは、「encoded_block」バッファーのフラッシュに使用される「memset」関数呼び出しを削除できました。 RtlSecureZeroMemory（）関数を使用して、プライベートデータを消去する必要があります。 dst_api.c 446
• V597コンパイラーは、「memset」関数呼び出しを削除できます。これは、「in_buff」バッファーのフラッシュに使用されます。 RtlSecureZeroMemory（）関数を使用して、プライベートデータを消去する必要があります。 dst_api.c 916
• V597コンパイラーは、 'repeatedPassword'バッファーのフラッシュに使用される 'memset'関数呼び出しを削除できました。 RtlSecureZeroMemory（）関数を使用して、プライベートデータを消去する必要があります。 passwd.cpp 171

V630 「malloc」関数は、コンストラクターを含むクラスであるオブジェクトの配列にメモリを割り当てるために使用されます。 PDFWriter.cpp 117

 status_t PDFWriter::PrintPage(int32 pageNumber, int32 pageCount) { .... pictures = (BPicture **)malloc(pictureCount * sizeof(BPicture *)); picRects = (BRect *)malloc(pictureCount * sizeof(BRect)); //<== picPoints = (BPoint *)malloc(pictureCount * sizeof(BPoint)); //<== picRegion = new BRegion(); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

任意のクラスのオブジェクトの配列にmallocを使用してメモリを割り当てる場合、オブジェクトのコンストラクターは、作成時に呼び出されることも、破棄されるときにデストラクターも呼び出されません。 このようなコードは、初期化されていない変数やその他のエラーを処理する可能性があります。



V512 「memset」関数を呼び出すと、バッファー「context」のアンダーフローが発生します。 sha2.c 623

 #define MEMSET_BZERO(p,l) memset((p), 0, (l)) void solv_SHA256_Final(sha2_byte digest[], SHA256_CTX* context) { .... /* Clean up state data: */ MEMSET_BZERO(context, sizeof(context)); usedspace = 0; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

リセット可能なメモリのサイズは、構造体のサイズではなく、ポインターのサイズに等しくなります。



このような他の場所：

• V512「memset」関数を呼び出すと、バッファー「context」のアンダーフローが発生します。 sha2.c 644
• V512「memset」関数を呼び出すと、バッファー「context」のアンダーフローが発生します。 sha2.c 953
• V512「memset」関数を呼び出すと、バッファー「context」のアンダーフローが発生します。 sha2.c 973
• V512「memset」関数を呼び出すと、バッファー「context」のアンダーフローが発生します。 sha2.c 1028
• V512「memset」関数を呼び出すと、バッファー「context」のアンダーフローが発生します。 sha2.c 1048

その他

V591非void関数は値を返す必要があります。 pc.c 1031

 ULONG set_var(char *name, ULONG val) { variable *v; v = lookup_var(name); if (v != NULL) v->value = val; else add_var(name, val); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ほとんどの場合、set_var（）関数を呼び出すとき、戻り値は使用されません。 しかし、彼らがそれを使用する場合、彼らは不定の値を取得します。



V671 「スワップ」機能は、「std :: declval <_Alloc＆>（）」変数をそれ自体と交換する可能性があります。 alloc_traits.h 191

 static constexpr bool _S_nothrow_swap() { using std::swap; return !_S_propagate_on_swap() || noexcept( swap(std::declval<_Alloc&>(), std::declval<_Alloc&>())); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

理解できないswap（）関数の使用：同じ引数。



V519 ' data- > error'変数には、連続して2回値が割り当てられます。 おそらくこれは間違いです。 行をチェック：222、223。repo_solv.c 223

 static unsigned char * data_read_idarray(.... , Repodata *data) { .... data->error = pool_error( //<== data->repo->pool, SOLV_ERROR_ID_RANGE, "data_read_idarray: id too large (%u/%u)", x, max); data->error = SOLV_ERROR_ID_RANGE; //<== .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

行の1つの変数に異なる値を割り当てます。 おそらくタイプミス。



V568 sizeof（）演算子の引数が 'sizeof（struct tlv_header_t）'式であることは奇妙です。 print-slow.c 255

 void slow_print(register const u_char *pptr, register u_int len) { .... if (vflag > 1) print_unknown_data(tptr+sizeof(sizeof(struct tlv_header_t)), "\n\t ", tlv_len-sizeof(struct tlv_header_t)); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

sizeof（）演算子の引数もsizeof（）です。 この演算子は式のタイプを計算し、このタイプのサイズを返しますが、式自体は評価されません。 ここでは、構造のサイズは何にも影響しません。



そのような場所はたくさんあります：

• V568 sizeof（）演算子の引数が 'sizeof（struct lmp_object_header）'式であることは奇妙です。 print-lmp.c 872
• V568 sizeof（）演算子の引数が 'sizeof（struct tlv_header_t）'式であることは奇妙です。 print-slow.c 182
• V568 sizeof（）演算子の引数が 'sizeof（struct eigrp_tlv_header）'式であることは奇妙です。 print-eigrp.c 283
• V568 sizeof（）演算子の引数が 'sizeof（struct eigrp_tlv_header）'式であることは奇妙です。 print-eigrp.c 471

おわりに

Haikuは大規模で珍しいプロジェクトです。 テストして、開発に少し貢献するのは面白かったです。 オープンソースプロジェクトでの私の経験にもかかわらず、ここで私は多くの珍しいアナライザー警告に会いました。 私の意見では、記事には最も疑わしいソースコードの例が含まれていました。 記事に含まれていない、または私が見逃した他のすべては、プロジェクトの作成者が完全な検証ログで見つけることができます。

この記事は英語です。

英語を話す聴衆とこの記事を共有したい場合は、翻訳へのリンクを使用してください：Svyatoslav Razmyslov。 PVS-StudioによるHaikuオペレーティングシステム（BeOSファミリ）の分析。 パート2 。