PVS-Studioを使用したOpenJDKプロジェクトのテスト

共著者：ローマン・フォミケフ。



現在、多くのプロジェクトがソースコードを開き、関心のある開発者のコ​​ミュニティがコードを変更できるようになっています。 これらのプロジェクトの1つであるOpenJDKを確認し、開発者がコードを改善できるようにします。

はじめに

OpenJDK （Open Java Development Kit） -Javaプラットフォーム（Java SE）の実装を作成するプロジェクト。無料のオープンソースコードのみで構成されています。 このプロジェクトは2006年にSunによって開始されました。 このプロジェクトでは、C、C ++、およびJavaの複数の言語を使用します。 CおよびC ++で記述されたソースコードに興味があります。 検証のために、OpenJDKの9番目のバージョンを使用してください。 このJavaプラットフォーム実装のコードは、Mercurialリポジトリで入手できます 。



プロジェクトは、 PVS-Studio静的コードアナライザーを使用して検証されました。 簡単なコードスキャンでは検出が困難なエラーも含め、プログラミング中に発生した多数のエラーを見つけることができる多くの診断ルールを実装しています。 これらのエラーの一部はプログラムのロジックに影響を与えず、一部はプログラムの実行に悲惨な結果をもたらす可能性があります。 アナライザーサイトには、他のプロジェクトで見つかったエラーの例があります。 分析のために、言語C、C ++、およびC＃を使用するプロジェクトが利用可能です。 アナライザーの試用版はこちらからダウンロードできます。

論理式のエラー

最初に、論理式のエラーを考慮します。

int StubAssembler::call_RT(....) { #ifdef _LP64 // if there is any conflict use the stack if (arg1 == c_rarg2 || arg1 == c_rarg3 || arg2 == c_rarg1 || arg1 == c_rarg3 || arg3 == c_rarg1 || arg1 == c_rarg2) { .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V501「||」の左側と右側に同じサブ式「arg1 == c_rarg3」があります 演算子。 c1_Runtime1_x86.cpp 174



アナライザーは、チェックarg1 == c_rarg3の重複を報告します。 このフラグメントには、冗長チェックまたはさらに悪いことに論理エラーが存在します。 おそらく、重複した条件の代わりに、他の何かがチェックされるべきでした。 開発者がこのコードを詳しく見ることは理にかなっています。



同じ条件で、別の繰り返し式arg1 == c_rarg2があります。



PVS-Studio警告： V501「||」の左側と右側に同じサブ式「arg1 == c_rarg2」があります 演算子。 c1_Runtime1_x86.cpp 174



これらの警告は、特に静的アナライザーの必要性を示しています。 同じタイプの多数の式では、コードの表面的なレビューでは検出が困難な間違いを犯すのは非常に簡単です。



次のスニペットは、 Idealメソッドの条件で「不完全な」チェックを満たしました。

 Node *AddLNode::Ideal(PhaseGVN *phase, bool can_reshape) { .... if( op2 == Op_AddL && in2->in(1) == in1 && op1 != Op_ConL && 0 ) { .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V560条件式の一部は常にfalseです：0。addnode.cpp 435



0を使用するのはかなり奇妙です。論理式では、ほとんどの場合、このコードはまだ開発中であり、デバッグのために条件は不可能になりました。 コードには対応するコメントはありません。この場合、将来コードを修正するのを忘れる可能性が高くなります。 このエラーの結果は、論理式の評価結果が常にfalseになるため、この条件内にあるすべてのものが実行されることはありません。

操作の優先順位

多くの場合、プログラマーは優先順位の知識に依存しており、角括弧で複雑な式のコンポーネントを強調していません。

 int method_size() const { return sizeof(Method)/wordSize + is_native() ? 2 : 0; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

警告PVS-Studio： V502「？：」演算子は、予想とは異なる方法で動作する可能性があります。 「？：」演算子は、「+」演算子よりも優先度が低くなります。 method.hpp 249



この場合、コードの詳細はわかりませんが、is_native（）関数を呼び出した結果に応じて関数が '2'または '0'のオフセット値を選択することを計画している疑いがありますが、式の計算順序は異なります。 最初に、 sizeof（メソッド）/ wordSize + is_native（）の追加が実行され 、次に結果が2または0を返します。ほとんどの場合、コードは次のようになります。

 { return sizeof(Method)/wordSize + (is_native() ? 2 : 0); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは非常に一般的な操作優先度エラーです。 アナライザーによって検出されたエラーのデータベースでは、最も一般的なエラーが特定され、記事「 C / C ++の論理式」で説明されています。 専門家は間違っていますか 。

コピーペースト

次のエラーの特性グループは、コードのコピーに関連しています。 このプログラマーのお気に入りのトリックから逃れることはできません。したがって、コピーペーストが適用された場所を調べます。

 static int setImageHints(....) { .... if (dstCMP->isDefaultCompatCM) { hintP->allocDefaultDst = FALSE; hintP->cvtToDst = FALSE; } else if (dstCMP->isDefaultCompatCM) { hintP->allocDefaultDst = FALSE; hintP->cvtToDst = FALSE; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V517「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 行を確認してください：1873、1877。awt_ImagingLib.c 1873



この例では、 ifとelse ifの条件は完全に同一であり、実行するコードも同じです。 2番目の条件は完全に無意味であり、決して満たされることはありません。



別の同様のケース：

 static int expandPackedBCR(JNIEnv *env, RasterS_t *rasterP, int component, unsigned char *outDataP) { .... /* Convert the all bands */ if (rasterP->numBands < 4) { /* Need to put in alpha */ for (y=0; y < rasterP->height; y++) { inP = lineInP; for (x=0; x < rasterP->width; x++) { for (c=0; c < rasterP->numBands; c++) { *outP++ = (unsigned char) (((*inP&rasterP->sppsm.maskArray[c]) >> roff[c]) <<loff[c]); } inP++; } lineInP += rasterP->scanlineStride; } } else { for (y=0; y < rasterP->height; y++) { inP = lineInP; for (x=0; x < rasterP->width; x++) { for (c=0; c < rasterP->numBands; c++) { *outP++ = (unsigned char) (((*inP&rasterP->sppsm.maskArray[c]) >> roff[c]) <<loff[c]); } inP++; } lineInP += rasterP->scanlineStride; } } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V523「then」ステートメントは「else」ステートメントと同等です。 awt_ImagingLib.c 2927



両方のブロックの実行可能コードはそれぞれ同一であり、条件で計算されるものに違いはありません。 この場所を見て不要なブランチを削除するか、別のロジックが暗示されている場合は、コードを調整して重複を回避するのが理にかなっています。



重複が同じ場所がさらに2つあります。 コードなしでそれらを指摘するだけです。

• V523「then」ステートメントは「else」ステートメントと同等です。 awt_ImagingLib.c 3111
• V523「then」ステートメントは「else」ステートメントと同等です。 awt_ImagingLib.c 3307

さて、コピーペーストエラーの可能性に関連する最後の興味深い例：

 Node* GraphKit::record_profiled_receiver_for_speculation(Node* n) { .... ciKlass* exact_kls = profile_has_unique_klass(); bool maybe_null = true; if (java_bc() == Bytecodes::_checkcast || java_bc() == Bytecodes::_instanceof || java_bc() == Bytecodes::_aastore) { ciProfileData* data = method()->method_data()->bci_to_data(bci()); bool maybe_null = data == NULL ? true : <== data->as_BitData()->null_seen(); } return record_profile_for_speculation(n, exact_kls, maybe_null); return n; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V561新たに宣言するよりも、 'maybe_null'変数に値を割り当てる方がおそらく良いでしょう。 前の宣言：graphKit.cpp、行2170。graphKit.cpp 2175



このコードで何が起こっていますか？ ifブロックの前に、変数bool maybe_null = trueが宣言されています。 。 次に、 ifブロックでコードが実行されると、同じ名前の変数が宣言されます。 ブロックを終了すると、この変数の値は失われ、この変数を使用した関数の呼び出しはいずれの場合もtrueになります 。 さて、デバッグ目的でこの変数が複製された場合。 それ以外の場合、このコードは正しく実行されず、変更が必要です。

 maybe_null = data == NULL ? true : data->as_BitData()->null_seen();
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ポインターを操作する

ポインターの不適切な使用は、識別が困難なエラーを引き起こす可能性があるため、ポインターの操作には注意と正確さが必要です。 原則として、主な危険は、壊れたポインターの使用、またはヌル値をチェックせずにポインターを使用することです。



最初に、nullポインターを明示的に使用する場合を考えます。

 static jint JNICALL cbObjectTagInstance(....) { ClassInstancesData *data; /* Check data structure */ data = (ClassInstancesData*)user_data; if (data == NULL) { data->error = AGENT_ERROR_ILLEGAL_ARGUMENT; return JVMTI_VISIT_ABORT; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V522ヌルポインター「データ」の逆参照が行われる場合があります。 util.c 2424



ヌルポインターを使用する絶対に理解できないコードは、プログラムのクラッシュにつながる可能性があります。 おそらく、このブランチは機能しなかったため、プログラムの実行中に問題を回避することができました。 同じファイルにさらに3つの類似した場所がありました。

• V522 NULLポインター「データ」の逆参照が行われる場合があります。 util.c 2543
• V522 NULLポインター「データ」の逆参照が行われる場合があります。 util.c 2601
• V522 NULLポインター「データ」の逆参照が行われる場合があります。 util.c 2760

ただし、次の場合は、nullポインターを使用する可能性がより深く隠されています。 これは非常に一般的な状況であり、そのような警告はチェックされたプロジェクトのほとんどすべてで見つかります。

 static jboolean visibleClasses(PacketInputStream *in, PacketOutputStream *out) { .... else { (void)outStream_writeInt(out, count); for (i = 0; i < count; i++) { jbyte tag; jclass clazz; clazz = classes[i]; <== tag = referenceTypeTag(clazz); (void)outStream_writeByte(out, tag); (void)outStream_writeObjectRef(env, out, clazz); } } if ( classes != NULL ) <== jvmtiDeallocate(classes); .... return JNI_TRUE; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告 ：V595 nullptrに対して検証される前に、「クラス」ポインターが使用されました。 行をチェックしてください：58、66。ClassLoaderReferenceImpl.c 58



下のブロックでは、ポインターのゼロ値がチェックされます。つまり、プログラマーはポインター値がゼロになる可能性を認めます。 ただし、上記のブロックでは、ポインターはチェックせずに使用されます。 したがって、ポインター値がゼロの場合、そのようなチェックは役に立たず、プログラムの異常終了を受け取ります。 このエラーを修正するには、両方のブロックの上のポインターを確認する必要があります。



別の同様の例を挙げましょう。

 int InstructForm::needs_base_oop_edge(FormDict &globals) const { if( is_simple_chain_rule(globals) ) { const char *src = _matrule->_rChild->_opType; OperandForm *src_op = globals[src]->is_operand(); assert( src_op, "Not operand class of chain rule" ); return src_op->_matrule ? src_op->_matrule->needs_base_oop_edge() : 0; } // Else check instruction return _matrule ? _matrule->needs_base_oop_edge() : 0; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V595 nullptrに対して検証される前に、 '_ matrule'ポインターが使用されました。 行を確認してください：3534、3540。formssel.cpp 3534



ここでは、三項演算子-_matruleでポインターがチェックされますか？ _matrule-> needs_base_oop_edge（）：0;。 そして、このポインターへの単純な呼び出しがあります-const char * src = _matrule-> _ rChild-> _ opType;。 修正のレシピは似ています。使用する前にポインターを確認する必要があります。 そのような場所はかなりありました。それらをリストします。

• V595 nullptrに対して検証される前に、 '_ pipeline'ポインターが使用されました。 行を確認してください：3265、3274。output_c.cpp 3265
• V595 nullptrに対して検証される前に、「index_bound」ポインターが使用されました。 行を確認：790、806。c1_RangeCheckElimination.cpp 790
• V595 nullptrに対して検証される前に、「g_type_init」ポインターが使用されました。 行を確認してください：94、108。GioFileTypeDetector.c 94
• V595 nullptrに対して検証される前に、「classArray」ポインターが使用されました。 行を確認してください：1169、1185。JPLISAgent.c 1169
• V595 nullptrに対して検証される前に、「q」ポインターが使用されました。 行を確認してください：594、599。mpi.c 594
• V595 nullptrに対して検証される前に、「info.waiters」ポインターが使用されました。 行を確認してください：224、228。ObjectReferenceImpl.c 224
• V595 nullptrに対して検証される前に、「メソッド」ポインターが使用されました。 行を確認してください：225、229。ReferenceTypeImpl.c 225
• V595 nullptrに対して検証される前に、「フィールド」ポインターが使用されました。 行を確認してください：433、437。ReferenceTypeImpl.c 433
• V595 nullptrに対して検証される前に、「ネストされた」ポインターが使用されました。 行を確認してください：538、540。ReferenceTypeImpl.c 538
• V595 nullptrに対して検証される前に、「インターフェース」ポインターが使用されました。 行を確認してください：593、595。ReferenceTypeImpl.c 593
• V595 nullptrに対して検証される前に、「buf」ポインターが使用されました。 行を確認してください：265、266。ps_proc.c 265
• V595 nullptrに対して検証される前に、「モニター」ポインターが使用されました。 行を確認：382、387。ThreadReferenceImpl.c 382
• V595 nullptrに対して検証される前に、「モニター」ポインターが使用されました。 行を確認してください：557、560。ThreadReferenceImpl.c 557
• V595 nullptrに対して検証される前に、「署名」ポインターが使用されました。 行を確認してください：520、526。debugInit.c 520
• V595 nullptrに対して検証される前に、「BlackPoint」ポインターが使用されました。 チェック行：192、208。cmssamp.c 192
• V595 nullptrに対して検証される前に、「nativename」ポインターが使用されました。 行を確認してください：506、511。awt_Font.c 506
• V595 nullpsrに対して検証される前に、「pseq-> seq」ポインターが使用されました。 行をチェック：788、791。cmsnamed.c 788
• V595 nullptrに対して検証される前に、「GammaTables」ポインターが使用されました。 チェックライン：1430、1434。cmsopt.c 1430

プログラマーは、逆に、ポインターをチェックすることがありますが、間違っています。

 FileBuff::FileBuff( BufferedFile *fptr, ArchDesc& archDesc) : _fp(fptr), _AD(archDesc) { .... _bigbuf = new char[_bufferSize]; if( !_bigbuf ) { file_error(SEMERR, 0, "Buffer allocation failed\n"); exit(1); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V668メモリは「new」演算子を使用して割り当てられたため、「_ bigbuf」ポインタをnullに対してテストする意味はありません。 メモリ割り当てエラーの場合、例外が生成されます。 filebuff.cpp 47



この場合、newを使用した後に_bigbufポインターでNULL値を確認しても意味がありません。 システムがメモリの割り当てに失敗すると、例外が生成され、関数の実行が停止します。 エラーを修正するには、いくつかのアプローチを使用できます。 try catch blockでメモリ割り当てを行うか、 新しい（std :: nothrow）コンストラクトを使用してメモリを割り当てます。これにより、失敗しても例外はスローされません。 このような誤ったチェックがいくつかあります。

• V668「new」演算子を使用してメモリが割り当てられたため、「vspace」ポインタをnullに対してテストする意味がありません。 メモリ割り当てエラーの場合、例外が生成されます。 psParallelCompact.cpp 455
• V668「new」演算子を使用してメモリが割り当てられたため、「uPtr」ポインターをnullに対してテストしても意味がありません。 メモリ割り当てエラーの場合、例外が生成されます。 jni.cpp 113

ポインターを操作する際の最後の間違いは、あるタイプのポインターを別のタイプのポインターに明示的にキャストするときに起こりました。

 mlib_status mlib_convMxNext_f32(...) { mlib_d64 dspace[1024], *dsa = dspace; .... mlib_f32 *fsa; .... if (3 * wid_e + m > 1024) { dsa = mlib_malloc((3 * wid_e + m) * sizeof(mlib_d64)); if (dsa == NULL) return MLIB_FAILURE; } fsa = (mlib_f32 *) dsa; <== .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告：V615「double *」型から「float *」型への奇妙な明示的な変換。 mlib_ImageConvMxN_Fp.c 294



float mlib_f32 * fsaへのポインターは、ポインターをdouble mlib_d64 dspace [1024]、* dsa = dspaceに割り当てようとします。 float型とdouble型はサイズが異なり、同様の型変換はおそらく間違いです。 キャストされる型のサイズの不一致により、 fsaポインターは、float型に対して正しくない数値形式を示します。



別のファイルには、このような同様の変換がさらに2つあります。このコードを慎重に確認し、正しい型変換を使用する必要があります。

• V615「double *」型から「float *」型への奇妙な明示的な変換。 mlib_ImageLookUp_Bit.c 525
• V615「double *」型から「float *」型への奇妙な明示的な変換。 mlib_ImageLookUp_Bit.c 526

これで、ポインターの使用に関連するエラーの説明を終了し、アナライザーの残りの警告を調査します。

その他のエラー

次のエラーは、おそらくコードのコピーの失敗の結果でもあります。

 static bool parse_bool (const char **pp, const char *end, unsigned int *pv) { .... /* CSS allows on/off as aliases 1/0. */ if (*pp - p == 2 || 0 == strncmp (p, "on", 2)) *pv = 1; else if (*pp - p == 3 || 0 == strncmp (p, "off", 2)) *pv = 0; else return false; return true; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V666関数 'strncmp'の3番目の引数を調べることを検討してください。 値が、2番目の引数で渡された文字列の長さと一致しない可能性があります。 hb-shape.cc 104



エラーがプログラムのパフォーマンスに影響を与えない場合は、次のとおりです。 3つの文字を比較する代わりに、最初の2つだけを比較します。コードの作成者が特別なチェックを実行できることを除外しません。 バッファーpの値はオンまたはオフにできるため、最初の2文字を比較するだけで十分です。 しかし、順序のために、あなたはまだコードを修正することができます：

 else if (*pp - p == 3 || 0 == strncmp (p, "off", 3))
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

クラスの実装でエラーが発生する可能性のある場所がいくつかありました。

 class ProductionState { .... private: // Disable public use of constructor, copy-ctor, ... ProductionState( ) : _production(cmpstr, hashstr, Form::arena) { assert( false, "NotImplemented"); }; ProductionState( const ProductionState & ) : _production(cmpstr, hashstr, Form::arena) { assert( false, "NotImplemented"); }; // Deep-copy };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studioの警告： V690コピーコンストラクターは 'ProductionState'クラスでプライベートとして宣言されていますが、デフォルトの '='演算子はコンパイラーによって生成されます。 そのようなクラスを使用するのは危険です。 dfa.cpp 76



このクラスでは、コピーを禁止しようとしましたが、プライベート領域にコピー演算子を追加するのを忘れました。 デフォルトで生成され、使用可能になります。 この演算子が現在コードのどこでも使用されていなくても、将来誰かが誤ってそれを呼び出さないという保証はありません。 そのような演算子が呼び出されると、コピーすべきではないクラスに対してコピーごとのコピーが発生します。 これは、プログラムがクラッシュするまでさまざまな効果をもたらす可能性があります。 この場合、演算子宣言「=」をプライベートエリアに追加する必要があります。



同様の問題が発生するクラスがさらに2つあります。「ビッグツーの法則 」に違反しないように調整することをお勧めします。

• V690「MemRegion」クラスはコピーコンストラクターを実装しますが、「=」演算子がありません。 そのようなクラスを使用するのは危険です。 memRegion.hpp 43
• V690コピーコンストラクターは 'Label'クラスでプライベートとして宣言されていますが、デフォルトの '='演算子は引き続きコンパイラーによって生成されます。 そのようなクラスを使用するのは危険です。 assembler.hpp 73

最後のエラーは単純なタイプミスのようなものです：

 bool os::start_debugging(char *buf, int buflen) { int len = (int)strlen(buf); char *p = &buf[len]; .... if (yes) { // yes, user asked VM to launch debugger jio_snprintf(buf, sizeof(buf), "gdb /proc/%d/exe %d", os::current_process_id(), os::current_process_id()); os::fork_and_exec(buf); yes = false; } return yes; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告： V579 jio_snprintf関数は、ポインターとそのサイズを引数として受け取ります。 間違いかもしれません。 2番目の引数を調べます。 os_linux.cpp 6094



プログラマーはバッファーの長さを渡したいと考えましたが、それがローカルに宣言された配列ではなく、関数の引数に含まれるポインターであることを考慮しませんでした。 式sizeof（buf）を評価した結果、バッファーの長さではなく、ポインターのサイズ（4バイトまたは8バイト）を取得します。 バッファ長がすでに取得されているため、エラーを修正するのは簡単です。intlen =（int）strlen（buf）;。 正しいオプションは次のようになります。

 jio_snprintf(buf, len ....
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

おわりに

多くの人を使用し、その品質を監視するプロジェクトをチェックすることは常に興味深いです。 かなり多数のエラーが見つかったため、この記事では特定の数のエラーについてのみ説明し、残りはより詳細な調査が必要です。 検出されたエラーにより、静的アナライザーを使用することの有効性が確認されます。単純な目で見ると検出が困難なエラーを検出できるからです。 バグを検索するときにプログラムのデバッグに費やす時間を大幅に節約できるため、アナライザを継続的に使用することが最も効果的です。 試用版をダウンロードすることで、プロジェクトでPVS-Studio静的アナライザーの作業を試すことができることを思い出してください。





英語を話す聴衆とこの記事を共有したい場合は、翻訳へのリンクを使用してください：Svyatoslav Razmyslov。 PVS-StudioによるOpenJDKチェック 。