Microsoftコード契約の確認

C / C ++言語用のPVS-Studioアナライザーを作成し、開発を継続しています。 時間が経つにつれて、実装された診断の多くが特定のプログラミング言語とは無関係であることが明らかになり、その後、経験を別のプログラミング言語、C＃に適用しようとすることにしました。 この記事では、新しいC＃アナライザーを使用したMicrosoftのCode Contractsプロジェクトのテストについて説明します。

MSコード契約について

コードコントラクトは、.NETアプリケーションのプログラムコードに関する仮定を表現する方法を提供します。 契約は前提条件、事後条件、およびオブジェクト不変式の形式を取り、外部および内部APIの検証済みドキュメントとして機能します。 契約は、プログラムの実行中にチェックすることでテストプロセスを改善するために使用され、契約の静的な検証とドキュメントの生成を可能にします。



これは、活発に開発されている中規模のプロジェクト（約4000個のソースファイル）です。未完成で誤って記述されたコードが多数含まれています。 この段階で、開発プロセスに静的分析を導入する必要があります。

新しいC＃コードアナライザーについて

Code Contractsプロジェクトは、 PVS-Studioの実験版を使用して検証されました。これは、リンクhttp://files.viva64.com/beta/PVS-Studio_setup.exeから入手できます。



アナライザーはすぐに実験的ではなくなります。 2015年12月22日にC＃をサポートするPVS-Studioの最初のリリースバージョンをリリースする予定です。 同時に、アナライザーはメジャーバージョン番号を6.0に変更します。



価格設定ポリシーは変更されません。 以前、PVS-Studioでは、C、C ++、C ++ / CLI、C ++ / CXのプログラムをチェックできました。 これで、C＃がこのリストに追加されます。

検証結果

開いているプロジェクトのチェックに関する記事の準備中に、静的アナライザーが提供するすべての警告とはまったく異なる情報を提供します。 したがって、プロジェクトの作成者がプロジェクトを個別に分析し、アナライザーによって発行されたすべてのメッセージを調査することをお勧めします。

見つかった最も危険な場所

V3025形式が正しくありません 。 'Format'関数を呼び出すときに、異なる数の実引数が予期されます。 予想：3.現在：2. VSServiceProvider.cs 515

void AskToReportError(Exception exn) { .... var emailBody = new StringBuilder(); emailBody.AppendLine("Hi Code Contracts user,"); emailBody.AppendLine(); .... emailBody.AppendLine( String.Format(".... {0} {1} Visual Studio {2} Bug Report", typeof(VSServiceProvider).Assembly.GetName().Version, #if DEBUG "Debug" #else "Release" #endif )); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

String.Format（）関数は3つの引数を必要とし、2つの引数のみが渡されます。 この場合、 FormatExceptionがスローされます。



V3014 「for」演算子内で誤った変数がインクリメントされている可能性があります。 「i」の検討を検討してください。 SparseArray.cs 1956

 override public string ToString() { StringBuilder str = new StringBuilder(); for (int i = 0; i < data.Length; i++) { if (data[i] != null) { for (int j = 0; j < lastElement[i]; i++) //<== { str.AppendFormat("({0},{1})", data[i][j].Index, data[i][j].Value); } } } return str.ToString(); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ネストされたループでは、カウンター変数「j」は変更されません。 「j ++」の代わりに、外部ループ「i ++」のカウンターが変更されます。



似たような場所：

• V3014「for」演算子内で誤った変数がインクリメントされている可能性があります。 「k」の見直しを検討してください。 Writer.cs 3984
• V3014「for」演算子内で誤った変数がインクリメントされている可能性があります。 「count_d」の確認を検討してください。 Octagons.cs 509

V3003 「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 203、207行を確認してください。WeakestPreconditionProver.csToSMT2.cs 203

 private BoxedExpression DeclareVariable(....) { var tmp = original.ToString().Replace(' ', '_'); this.Info.AddDeclaration(string.Format("....", tmp, type)); this.ResultValue = tmp; if (type == FLOAT32) //<== { types[original] = FloatType.Float32; } else if (type == FLOAT64) //<== { types[original] = FloatType.Float64; } return original; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アナライザーは2つの同一の条件式を検出しました。そのため、2番目の条件のオペレーターは制御を取得できません。 一見そうではありませんが、定数FLOAT32およびFLOAT64を定義し続けると、次のコードが表示されます。

 private const string FLOAT32 = "(_ FP 11 53)"; // To change!!! private const string FLOAT64 = "(_ FP 11 53)";
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

定数は本当に等しいです！ ここにはFLOAT32定数の値を置き換える必要があるというコメントがありますが、この場所は将来見逃しやすいです。 プロジェクトの開発では、TODOなどの場所にタグを付けて、静的コード分析の結果を定期的に確認することが重要です。



V3003 「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 行をチェックしてください：1200、1210。OutputPrettyCS.cs 1200

 public enum TypeConstraint { NONE, CLASS, //<== STRUCT, //<== BASECLASS, } public void Output(OutputHelper oh) { Contract.Requires(oh != null); oh.Output("where ", false); mParent.OutputName(oh); oh.Output(" : ", false); //** base class bool comma = false; if (mTypeConstraint == TypeConstraint.CLASS) //<==??? { oh.Output("class", false); comma = true; } else if (mTypeConstraint == TypeConstraint.STRUCT) { oh.Output("struct", false); comma = true; } else if (mTypeConstraint == TypeConstraint.CLASS) //<==??? { oh.Output(mClassConstraint, false); comma = true; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコードでは、同じ条件がより明白です。 おそらく、いずれかの条件で、変数 'mTypeConstraint'をTypeConstraint.CLASSの代わりに定数TypeConstraint.BASECLASSと比較したいと考えていました。



V3022式 'c>' \ xFFFF ''は常にfalseです。 Output.cs 685

 private static string Encode(string s) { .... foreach( char c in s ) { if (c == splitC || c == '\n' || c == '\\') { specialCount++; } else if (c > '\x7F') { if (c > '\xFFFF') specialCount += 9; else specialCount += 5; } } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

式「c> '\ xFFFF'」は決して真にならず、演算子「specialCount + = 9」は実行されません。 変数 'c​​'はChar型で、最大値は '\ xFFFF'です。このコードがどのように機能し、どのように修正するかは明確ではありません。おそらく、タイプミスまたは別の言語のアプリケーションから借用したコードを扱っています。たとえば、C / C ++言語では、32ビット文字が使用されることがあり、値0xFFFFで「再生」されます。そのようなコードの例：

 /* putUTF8 -- write a character to stdout in UTF8 encoding */ static void putUTF8(long c) { if (c <= 0x7F) { /* Leave ASCII encoded */ printf("&#%ld;", c); } else if (c <= 0x07FF) { /* 110xxxxx 10xxxxxx */ putchar(0xC0 | (c >> 6)); putchar(0x80 | (c & 0x3F)); } else if (c <= 0xFFFF) { /* 1110xxxx + 2 */ putchar(0xE0 | (c >> 12)); putchar(0x80 | ((c >> 6) & 0x3F)); putchar(0x80 | (c & 0x3F)); } else if (c <= 0x1FFFFF) { /* 11110xxx + 3 */ putchar(0xF0 | (c >> 18)); putchar(0x80 | ((c >> 12) & 0x3F)); putchar(0x80 | ((c >> 6) & 0x3F)); putchar(0x80 | (c & 0x3F)); } else if (c <= 0x3FFFFFF) { /* 111110xx + 4 */ putchar(0xF8 | (c >> 24)); putchar(0x80 | ((c >> 18) & 0x3F)); putchar(0x80 | ((c >> 12) & 0x3F)); putchar(0x80 | ((c >> 6) & 0x3F)); putchar(0x80 | (c & 0x3F)); } else if (c <= 0x7FFFFFFF) { /* 1111110x + 5 */ putchar(0xFC | (c >> 30)); putchar(0x80 | ((c >> 24) & 0x3F)); putchar(0x80 | ((c >> 18) & 0x3F)); putchar(0x80 | ((c >> 12) & 0x3F)); putchar(0x80 | ((c >> 6) & 0x3F)); putchar(0x80 | (c & 0x3F)); } else { /* Not a valid character... */ printf("&#%ld;", c); } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

V3008 「this.InsideMonitor」変数には、連続して2回値が割り当てられます。 おそらくこれは間違いです。 行を確認してください：751、749。AssertionCrawlerAnalysis.cs 751

 private Data(Data state, Variable v) { this.IsReached = state.IsReached; this.InsideMonitor = state.InsideMonitor; //<== this.symbols = new List<Variable>(state.symbols) { v }; this.InsideMonitor = false; //<==??? }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

特定の関数が関数のパラメーターを介して渡された値を使用してオブジェクトの状態を変更し、最後に「this.InsideMonitor」フィールドの値を定数「false」で上書きすることは非常に疑わしいです。 割り当て「this.InsideMonitor = state.InsideMonitor」は既に実行済みです。



V3009このメソッドが常に「true」という同じ値を返すのは奇妙です。 LinearEqualities.cs 5262

 public bool TryGetFirstAvailableDimension(out int dim) { for (var i = 0; i < map.Length; i++) { if (!map[i]) { dim = i; return true; } } map.Length++; dim = map.Length; return true; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アナライザーは、常に単一の真の値を返す関数を検出しました。 条件 "！Map [i]"が満たされた場合、関数は1つの値を返し、条件が一度も真でなければ、別の値を返すと想定できます。 おそらくこれは間違いです。

その他の警告

V3025形式が正しくありません 。 'Format'関数を呼び出すときに、異なる数の実引数が予期されます。 予想：1.現在：2. Output.cs 68

 public override void WriteLine(string value) { output.WriteLine(string.Format("{1}", DateTime.Now, value.Replace("{", "{{").Replace("}","}}"))); //output.WriteLine(string.Format("[{0}] {1}", //DateTime.Now., value)); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

以前は、String.Format（）関数は、日付と値の2つの値を受け入れて出力していました。 次に、このコードについてコメントし、インデックス0の引数を使用しない別のオプションを作成しました。 日付は印刷されなくなりました。



未使用の引数でフォーマット関数を呼び出す他の例：

• V3025形式が正しくありません。 'Format'関数を呼び出すときに、異なる数の実引数が予期されます。 予想：6.現在：7. CacheModelExtensions.cs 46
• V3025形式が正しくありません。 'Format'関数を呼び出すときに、異なる数の実引数が予期されます。 予想：1.現在：2. CodeFixesInference.cs 1608
• V3025形式が正しくありません。 'Format'関数を呼び出すときに、異なる数の実引数が予期されます。 予想：2.現在：3. ExpressionManipulation.cs 442

V3004 「then」ステートメントは「else」ステートメントと同等です。 Metadata.cs 2602

 private void SerializeFieldRvaTable(....) { .... switch (row.TargetSection){ case PESection.SData: case PESection.TLS: Fixup fixup = new Fixup(); fixup.fixupLocation = writer.BaseStream.Position; fixup.addressOfNextInstruction = row.RVA; if (row.TargetSection == PESection.SData){ sdataFixup.nextFixUp = fixup; //<== sdataFixup = fixup; //<== }else{ sdataFixup.nextFixUp = fixup; //<== sdataFixup = fixup; //<== } writer.Write((int)0); break; .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アナライザーは、条件ステートメントで同一のコードブロックを検出しました。 これは冗長コードであるか、コピー後にコードの1ブロックを変更するのを忘れた可能性があります。 Copy-PasteはC＃プログラマをspare しみません。



そのような場所の全リスト：

• V3004「then」ステートメントは「else」ステートメントと同等です。 Nodes.cs 6698
• V3004「then」ステートメントは「else」ステートメントと同等です。 Nodes.cs 6713
• V3004「then」ステートメントは「else」ステートメントと同等です。 WarningSuggestionLinkOutput.cs 108
• V3004「then」ステートメントは「else」ステートメントと同等です。 NonNullAnalyzer.cs 1753

V3001 「||」の左側と右側に同一のサブ式「semanticType.Name == null」があります。 演算子。 ContractsProvider.cs 694

 public bool TryGetTypeReference(....) { .... if (semanticType.Name == null || semanticType.Name == null) goto ReturnFalse; cciType = new Microsoft.Cci.MutableCodeModel.NamespaceTypeR.... { ContainingUnitNamespace = cciNamespace, GenericParameterCount = (ushort) (....), InternFactory = Host.InternFactory, IsValueType = semanticType.IsValueType, IsEnum = semanticType.TypeKind == TypeKind.Enum, Name = Host.NameTable.GetNameFor(semanticType.Name), TypeCode=CSharpToCCIHelper.GetPrimitiveTypeCode(semanticType) }; goto ReturnTrue;' .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

条件「semanticType.Name == null」が2回チェックされます。 チェックは冗長であり、単純化することができます。または、オブジェクトの別のフィールドをチェックするのを忘れました。



このトピックに関する別の警告：

• V3001「||」の左側と右側に同一のサブ式「semanticType.Name == null」があります。 演算子。 ContractsProvider.cs 714

V3019 「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「other」、「right」を確認してください。 CallerInvariant.cs 189

 public override Predicate JoinWith(Predicate other) { var right = other as PredicateNullness; if (other != null) { if (this.value == right.value) { return this; } } return PredicateTop.Value; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アナライザーは、ヌル参照を介したアクセスにつながる可能性のある潜在的なエラーを検出しました。 「as」演算子の実行結果を「null」と比較する必要があります。



「other」オブジェクトがnullではないが「PredicateNullness」タイプにキャストできない状況が発生した場合、「right.value」にアクセスするときにnull参照を介してアクセスが行われます。



このプロジェクトには多くのそのような比較があります。ここにリスト全体があります。

• V3019「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「ファクト」、「moreRefinedFacts」を確認してください。 SimplePostconditionDispatcher.cs 319
• V3019「as」キーワードを使用した型変換後、おそらく誤った変数がnullと比較されます。 変数「objProvenance」、「provenance」を確認します。 AssertionCrawlerAnalysis.cs 816
• V3019「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「prev」、「other」を確認してください。 NonRelationalValueAbstraction.cs 1063
• V3019「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「prev」、「castedPrev」を確認します。 GenericDomains.cs 1657
• V3019「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「a」、「right」を確認してください。 LinearEqualitiesForSubpolyhedra.cs 859
• V3019「as」キーワードを使用した型変換後、おそらく誤った変数がnullと比較されます。 変数「a」、「other」を確認してください。 NonRelationalValueAbstraction.cs 1047
• V3019「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「a」、「other」を確認してください。 NonRelationalValueAbstraction.cs 1055
• V3019「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「a」、「right」を確認してください。 LinearEqualities.cs 849
• V3019「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「a」、「right」を確認してください。 LinearEqualities.cs 973
• V3019「as」キーワードを使用した型変換後に、誤った変数がnullと比較される可能性があります。 変数「a」、「right」を確認してください。 LinearEqualities.cs 1119

V3030定期的なチェック。 「this.lineOffsets == null」条件は、612行目で既に検証されています。Nodes.cs 613

 public virtual void InsertOrDeleteLines(....) { .... if (this.lineOffsets == null) if (this.lineOffsets == null) this.ComputeLineOffsets(); if (lineCount < 0) this.DeleteLines(offset, -lineCount); else this.InsertLines(offset, lineCount); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2つの同一のチェック「this.lineOffsets == null」を連続して実行します。 このようなコードは意味がありません。 おそらく他の何かをチェックしたかったのでしょう。



V3002 switchステートメントは、 'UnaryOperator'列挙型のすべての値をカバーしていません：Conv_dec。 WeakestPreconditionProver.csToSMT2.cs 453

 private string Combine(UnaryOperator unaryOperator, string arg) { Contract.Requires(arg != null); var format = "({0} {1})"; string op = null; switch (unaryOperator) { case UnaryOperator.Neg: case UnaryOperator.Not: case UnaryOperator.Not: { op = "not"; } break; case UnaryOperator.WritableBytes: case UnaryOperator.Conv_i: case UnaryOperator.Conv_i1: case UnaryOperator.Conv_i2: case UnaryOperator.Conv_i4: case UnaryOperator.Conv_i8: case UnaryOperator.Conv_r_un: case UnaryOperator.Conv_r4: case UnaryOperator.Conv_r8: case UnaryOperator.Conv_u: case UnaryOperator.Conv_u1: case UnaryOperator.Conv_u2: case UnaryOperator.Conv_u4: case UnaryOperator.Conv_u8: { return null; } } return string.Format(format, op, arg); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アナライザーは、 'switch'ステートメントを検出しました。このステートメントでは、オプションが列挙型変数によって選択されています。 同時に、1“ UnaryOperator。 Conv_dec。」 これは非常に疑わしいです。



以下は、UnaryOperator列挙の定義です。

 public enum UnaryOperator { .... Conv_u8, Conv_r_un, Neg, Not, WritableBytes, Conv_dec, //<== }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

考えられるエラーは、この関数が「UnaryOperator.Not」という値に対してフォーマットされた文字列を返すように実装されていることであり、他の場合には値は「null」です。 ただし、要素は「UnaryOperator」です。 Conv_dec」はスキップされ、変数 'op'の値は 'null'のままになり、関数が返す書式設定された文字列に分類されます。

おわりに

この記事をお楽しみください。 興味深いオープンプロジェクトのチェックで読者を喜ばせ続けることを約束します。



上記のように、最初のリリースは2015年12月22日に予定されています。 通常、年末に将来の購入に関する決定が行われます。 そのため、興味のあるすべての人のために、PVS-Studioの買収に関して今すぐ連絡することを遅滞なく提供します。 そして、私達は私達の満足した顧客の間であなたの会社を見るために嬉しいです 。



ご清聴ありがとうございました。 そして、あなたのコードは絶望的です！





英語を話す聴衆とこの記事を共有したい場合は、翻訳へのリンクを使用してください：Svyatoslav Razmyslov。 マイクロソフトコード契約の分析 。