音楽ソフトウェアコードの欠陥の概要。 パート4。

Ardourは、コードの欠陥レビューに関係する音楽プロジェクトの中で最大の規模です。 このプロジェクトには、C ++で約1000個のソースコードファイルが含まれています。 このプロジェクトは開発者コミュニティによって積極的にサポートされていますが、静的分析ツールの使用に関する言及は見つかりませんでした。 その結果、さまざまな種類の多くのエラーがあります。 この記事では、最も興味深いものについて説明します。

はじめに

Ardour-デジタルオーディオワークステーション。 Linux、Mac OS X、およびFreeBSDで実行されます。 Ardourの機能は、Ardourが実行されている機器によってのみ制限されます。 これにより、このプログラムはプロの環境でサウンドを操作するための最も人気のあるツールの1つになります。



Ardourは多くのサードパーティライブラリを使用しています。 それらのいくつかはArdourのソースと共に配置され、その作者によって編集されています。 また、プロジェクトはさまざまなコンポーネントに分割されます。 この記事には、 gtk2_ardourおよびlibs / ardor ディレクトリからの最も興味深いエラーのみが含まれています。 完全なレポートを表示するために、作成者はサポートの一時キーを要求することにより、プロジェクトを個別に検証できます。



分析はPVS-Studioを使用して実行されました。 これは、C、C ++、C＃で書かれたプログラムのソースコードのエラーを検出するためのツールです。 WindowsおよびLinuxで動作します。

著者の考えは何ですか？

このセクションでは、読者の意見を分けることができるいくつかのコード例を示します。エラーまたは誤検知です。 そして、正しい解決策は、とにかくコードを書き直して、他の開発者や分析ツールを煩わさないようにすることです。



V696 「continue」演算子は、条件が常にfalseであるため、「do {...} while（FALSE）」ループを終了します。 行を確認してください：394、397。session_transport.cc 394

void Session::butler_transport_work () { .... do { more_disk_io_to_do = _butler->flush_tracks_to_disk_after_.... if (errors) { break; } if (more_disk_io_to_do) { continue; } } while (false); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

do-while（false）ループをcontinueステートメントと一緒に使用してブロックの最後にジャンプできます（ goto analog）が、なぜbreakステートメントがここにあるのですか？ おそらく、コードが間違っていて、ループはdo-while（true）になっているはずです。 一般的に、コードは書き直すことができ、また書き直す必要があります。



ご注意 おそらく誰もがポイントが何であるか理解していないので、もう少し説明します。 continueステートメントは、制御をdo-whileステートメントの先頭ではなく、条件に転送します。 条件は常に偽なので、ここではcontinueステートメントはbreakステートメントとまったく同じように機能します。



V547式 'strlen（buf）<256'は常にtrueです。 vst_info_file.cc 262

 static char * read_string (FILE *fp) { char buf[MAX_STRING_LEN]; if (!fgets (buf, MAX_STRING_LEN, fp)) { return 0; } if (strlen (buf) < MAX_STRING_LEN) { if (strlen (buf)) { buf[strlen (buf)-1] = 0; } return strdup (buf); } else { return 0; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

fgets（）関数は、2番目の引数を文字列の最大長として取ります（終端ゼロを含む）。 bufバッファはヌル文字で正しく終了します。 そして、コードで次に何が起こりますか？ 条件（strlen（buf）<MAX_STRING_LEN）は常に真です。 fgets（）関数は（MAX_STRING_LEN-1）文字以下を読み取ります。 さらに、文字列が空でない場合、最後の文字が削除されます。 これがプログラマが書くことを計画したものであるかどうかはわかりません。 おそらく、彼は文字列がまだヌル文字に制限されていないと思っていたが、そのような文字列はstrlen（）関数に渡すことができなかった。 一般に、コードは、どのように機能するか、これが元の計画に対応するかどうかを推測する必要がないように書き直す必要があります。



V575 「substr」関数は「-1」要素を処理します。 2番目の引数を調べます。 meter_strip.cc 491

 void MeterStrip::set_tick_bar (int m) { std::string n; _tick_bar = m; if (_tick_bar & 1) { n = meter_ticks1_area.get_name(); if (n.substr(0,3) != "Bar") { meter_ticks1_area.set_name("Bar" + n); } } else { n = meter_ticks1_area.get_name(); if (n.substr(0,3) == "Bar") { meter_ticks1_area.set_name(n.substr(3,-1)); // <= } } if (_tick_bar & 2) { n = meter_ticks2_area.get_name(); if (n.substr(0,3) != "Bar") { meter_ticks2_area.set_name("Bar" + n); } } else { n = meter_ticks2_area.get_name(); if (n.substr(0,3) == "Bar") { meter_ticks2_area.set_name(n.substr(3,-1)); // <= } } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

substr（）関数のすべての呼び出しに注意してください。 2番目の引数は値-1です。 しかし、それはどういう意味ですか？ これは、関数プロトタイプの外観です。

 string substr (size_t pos = 0, size_t len = npos) const;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ドキュメントによると、2番目の引数なしで、 substr（）関数は、指定された位置から文字列の末尾までの部分文字列を返します。 すなわち substr（pos）または少なくともsubstr（pos、string :: npos）を記述する代わりに、プログラマは-1の値を渡すことにしました。これは最終的に暗黙的にtype_t型に変換され、 string :: nposの値になります 。 コードはおそらく正しいですが、見苦しいです。 一般に、これは書き換えが可能であり、またそうすべきです。

プログラム内の何かが正しく機能していません

V517 「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 2389、2409行を確認してください。mixer_strip.cc 2389

 void MixerStrip::parameter_changed (string p) { if (p == _visibility.get_state_name()) { .... } else if (p == "track-name-number") { // <= name_changed (); } else if (p == "use-monitor-bus") { .... } else if (p == "track-name-number") { // <= update_track_number_visibility(); } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

同じ条件式のため、 update_track_number_visibility（）関数は呼び出されません。 トラック番号が適切なタイミングで正しく更新されていないようです。



別の5つの不審な場所：

• V517「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 行を確認してください：160、170。event_type_map.cc 160
• V517「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 行を確認してください：4065、4151。session_state.cc 4065
• V517「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 行を確認：4063、4144。session_state.cc 4063
• V517「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 行を確認してください：498、517。ardor_ui_options.cc 498
• V517「if（A）{...} else if（A）{...}」パターンの使用が検出されました。 論理エラーが存在する可能性があります。 行を確認してください：477、519。ardor_ui_options.cc 477

別の例：



V571定期的なチェック。 「if（working_on_selection）」条件は、行284で既に検証されています。editor_ops.cc 314

 void Editor::split_regions_at (....) { .... if (working_on_selection) { .... } else { if( working_on_selection ) { //these are the new regions created after the split selection->add (latest_regionviews); } } commit_reversible_command (); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ブール変数working_on_selectionは 2回目にチェックされるため、条件は常にfalseです。 おそらくこのようなエラーが原因で、一部のインターフェイス要素が誤って割り当てられています。

さらに10の興味深い間違い

＃1

V512 「memset」関数を呼び出すと、バッファー「error_buffer」のアンダーフローが発生します。 ardor_http.cc 142

 class HttpGet { .... char error_buffer[CURL_ERROR_SIZE]; .... }; HttpGet::HttpGet (bool p, bool ssl) : persist (p) , _status (-1) , _result (-1) { memset (error_buffer, 0, sizeof (*error_buffer)); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

たとえば、ポインタへのポインタのサイズがmemset（）関数に渡されたが、オブジェクトのサイズではなく、何か新しいことがあったときに、エラーが頻繁に発生しました。 配列全体ではなく、1バイトのみがリセットされます。



別のそのような場所：

• V512「memset」関数を呼び出すと、バッファー「error_buffer」のアンダーフローが発生します。 ardor_http.cc 208

＃2

V541 「buf」ストリングをそれ自体に印刷することは危険です。 luawindow.cc 490

 void LuaWindow::save_script () { .... do { char buf[80]; time_t t = time(0); struct tm * timeinfo = localtime (&t); strftime (buf, sizeof(buf), "%s%d", timeinfo); sprintf (buf, "%s%ld", buf, random ()); // is this valid? .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、バッファ内に特定の行を形成します。 次に、新しい行を取得し、その行の前の値を保存して、それにランダム（）関数の値を追加します。 すべてがシンプルなようです。



コードの正確性を疑った開発者の元のコメントは、コードに残されていました。 ここで予期しない結果が得られる理由を説明するために、この診断のドキュメントから簡単で理解しやすい例を引用します。

 char s[100] = "test"; sprintf(s, "N = %d, S = %s", 123, s);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコードの結果として、次の行を取得します。

 N = 123, S = test
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

しかし、実際には、バッファー内に行が形成されます。

 N = 123, S = N = 123, S =
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

他の状況では、同様のコードが誤ったテキストを表示するだけでなく、プログラムをクラッシュさせる可能性もあります。 新しいバッファを使用して結果を保存する場合、コードを修正できます。 正しいオプション：

 char s1[100] = "test"; char s2[100]; sprintf(s2, "N = %d, S = %s", 123, s1);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

制御線「％s％ld」の場合、問題は発生せず、正しい行が印刷されます。 しかし、コードは非常に危険で信頼性がありません。

＃3

V530関数 'unique'の戻り値を使用する必要があります。 audio_library.cc 162

 void AudioLibrary::search_members_and (vector<string>& members, const vector<string>& tags) { .... sort(members.begin(), members.end()); unique(members.begin(), members.end()); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

メンバベクトルから重複する要素を削除すると、誤って実行されます。 unique（）関数を呼び出した後、未定義の要素はベクターに残ります。



コードの修正バージョン：

 sort(members.begin(), members.end()); auto last = unique(members.begin(), members.end()); v.erase(last, members.end());
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

＃4

V654ループの「試行<8」条件は常に真です。 session_transport.cc 68

 void Session::add_post_transport_work (PostTransportWork ptw) { PostTransportWork oldval; PostTransportWork newval; int tries = 0; while (tries < 8) { oldval = (PostTransportWork) g_atomic_int_get (....); newval = PostTransportWork (oldval | ptw); if (g_atomic_int_compare_and_exchange (....)) { /* success */ return; } } error << "Could not set post transport work! ...." << endmsg; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

指定されたコードは、特定の操作の8回の試行を想定していますが、カウンター変数の試行はループ内で変化しません。 したがって、サイクルからの出口点は1つだけであり、解説から判断すると、成功した実装を示しています。 このようなコードの欠陥により、プログラムは潜在的なエラーを隠し、実行中にフリーズします。

＃5

V595 nullptrに対して検証される前に、 '_ session'ポインターが使用されました。 行を確認してください：1576、1579。editor_rulers.cc 1576

 void Editor::set_minsec_ruler_scale (samplepos_t lower, samplepos_t upper) { samplepos_t fr = _session->sample_rate() * 1000; samplepos_t spacer; if (_session == 0) { return; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この場所は重大な間違いのようです。 _sessionフィールドがゼロの場合、対応するチェックの前に無効なポインターの逆参照が発生します。



同様の場所の別の小さなリスト：

• V595 nullruに対して検証される前に、「rui」ポインターが使用されました。 行を確認してください：250、253。analysis_window.cc 250
• V595 nullptrに対して検証される前に、「scan_dlg」ポインターが使用されました。 行を確認してください：5089、5099。ardor_ui.cc 5089
• V595 nullptrに対して検証される前に、 '_ session'ポインターが使用されました。 行を確認してください：352、361。ardor_ui_options.cc 352
• V595 nullptrに対して検証される前に、「al」ポインターが使用されました。 行を確認：581、586。editor_mouse.cc 581
• V595 nullptrに対して検証される前に、 '_ a_window'ポインターが使用されました。 行を確認してください：423、430。fft_graph.cc 423
• V595 nullptrに対して検証される前に、「_ editor-> _ session」ポインターが使用されました。 行を確認してください：140、142。verbose_cursor.cc 140

＃6

V614初期化されていない変数 'req.height'が使用されました。 'set_size_request'関数の2番目の実引数を確認することを検討してください。 time_axis_view.cc 159

 TimeAxisView::TimeAxisView (....) { .... boost::scoped_ptr<Gtk::Entry> an_entry (new FocusEntry); an_entry->set_name (X_("TrackNameEditor")); Gtk::Requisition req; an_entry->size_request (req); name_label.set_size_request (-1, req.height); name_label.set_ellipsize (Pango::ELLIPSIZE_MIDDLE); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この例では、 req構造が初期化されない理由がすぐにはわかりませんでした。 しかし、ソースとドキュメントを見ると、関数のプロトタイプが見つかりました。

 void size_request(const Requisition& requisition);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

構造は定数リンクによって渡され、変更できません。

＃7

V746オブジェクトのスライス。 例外は、値ではなく参照によってキャッチする必要があります。 ardor_ui.cc 3806

 int ARDOUR_UI::build_session (....) { .... try { new_session = new Session (....); } catch (SessionException e) { .... return -1; } catch (...) { .... return -1; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アナライザーは、値による例外のキャッチに関連する潜在的なエラーを検出しました。 これは、コピーコンストラクタを使用して、 SessionException型の新しいeオブジェクトが構築されることを意味します。 これにより、 SessionExceptionから継承したクラスに保存された例外情報の一部が失われます。 参照によって例外をキャッチする方が、より正確で、さらに効率的です。



このタイプの他の警告：

• V746オブジェクトのスライス。 例外は、値ではなく参照によってキャッチする必要があります。 ardor_ui.cc 3670
• V746オブジェクトのスライス。 例外は、値ではなく参照によってキャッチする必要があります。 luawindow.cc 467
• V746オブジェクトのスライス。 例外は、値ではなく参照によってキャッチする必要があります。 luawindow.cc 518
• V746オブジェクトのスライス。 例外は、値ではなく参照によってキャッチする必要があります。 luainstance.cc 1326
• V746オブジェクトのスライス。 例外は、値ではなく参照によってキャッチする必要があります。 luainstance.cc 1363

＃8

V762仮想機能が誤ってオーバーライドされた可能性があります。 派生クラス「Editor」および基本クラス「PublicEditor」の関数「set_mouse_mode」の2番目の引数を参照してください。 editor.h 184

 class PublicEditor : .... { .... virtual void set_mouse_mode (Editing::MouseMode m, bool force = false) = 0; virtual void set_follow_playhead (bool yn, bool catch_up = false) = 0; .... } class Editor : public PublicEditor, .... { .... void set_mouse_mode (Editing::MouseMode, bool force=true); void set_follow_playhead (bool yn, bool catch_up = true); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Editorクラスの2つの関数はすぐにオーバーライドされました。 デフォルトの引数を取り、変更することはできません:)。

＃9

V773 「mootcher」ポインターを解放せずに関数が終了しました。 メモリリークが発生する可能性があります。 sfdb_ui.cc 1064

 std::string SoundFileBrowser::freesound_get_audio_file(Gtk::TreeIter iter) { Mootcher *mootcher = new Mootcher; std::string file; string id = (*iter)[freesound_list_columns.id]; string uri = (*iter)[freesound_list_columns.uri]; string ofn = (*iter)[freesound_list_columns.filename]; if (mootcher->checkAudioFile(ofn, id)) { // file already exists, no need to download it again file = mootcher->audioFileName; delete mootcher; (*iter)[freesound_list_columns.started] = false; return file; } if (!(*iter)[freesound_list_columns.started]) { // start downloading the sound file (*iter)[freesound_list_columns.started] = true; mootcher->fetchAudioFile(ofn, id, uri, this); } return ""; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Mootcherポインターは 、1つの条件下で解放されます。 その他の場合、メモリリークが発生します。

＃10

V1002ポインター、コンストラクター、およびデストラクターを含む「XMLProcessorSelection」クラスは、自動生成された演算子=によってコピーされます。 processor_selection.cc 25

 XMLProcessorSelection processors; ProcessorSelection& ProcessorSelection::operator= (ProcessorSelection const & other) { if (this != &other) { processors = other.processors; } return *this; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

新しいPVS-Studio診断の1つで興味深いエラーが見つかりました。 XMLProcessorSelectionクラスの1つのオブジェクトを別のオブジェクトに割り当てると、これらのオブジェクト内のポインターが同じメモリを参照するようになります。



XMLProcessorSelectionクラス定義 ：

 class XMLProcessorSelection { public: XMLProcessorSelection() : node (0) {} ~XMLProcessorSelection() { if (node) { delete node; } } void set (XMLNode* n) { if (node) { delete node; } node = n; } void add (XMLNode* newchild) { if (!node) { node = new XMLNode ("add"); } node->add_child_nocopy (*newchild); } void clear () { if (node) { delete node; node = 0; } } bool empty () const { return node == 0 || ....empty(); } const XMLNode& get_node() const { return *node; } private: XMLNode* node; // <= };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ご覧のとおり、クラスにはノードポインターが含まれていますが、オーバーライドされた代入演算子はありません。 ほとんどの場合、割り当ての代わりに、 set（）またはadd（）関数を使用する必要がありました。

エラーはどこで確認できますか？

記事には常に限られた数のエラー例が含まれています。 また、このレビューでは、 gtk2_ardourおよびlibs / ardor ディレクトリからのみ例を取り上げました。 しかし、Ardoreプロジェクトには多くのソースがあり、分析のすべての結果を調べると、プロジェクトコードの品質とプログラムの安定性の両方が大幅に向上します。



libs / vamp-pluginsディレクトリからの興味深いエラーの一例を次に示します。



V523 「then」ステートメントは「else」ステートメントと同等です。 Transcription.cpp 1827

 void Transcribe(....) { .... for (j=0;j<112;j++) { .... if(A1[j]>0) { D[j]=A1[j];D2[j]=A1[j]; } else { D[j]=A1[j];D2[j]=A1[j]; } } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アナライザーは、条件ステートメントの同じブランチを検出しました。 条件が要素が正かどうかをチェックするという事実により、このコードはさらに疑わしいものになります。

おわりに

Ardourプロジェクトは、おそらく、レビューからの以前のプロジェクトよりも、プロの環境でより多くの需要があります。 したがって、エラーの修正に関心を持つ人はたくさんいるはずです。



その他のレビュー：

• 音楽ソフトウェアコードの欠陥の概要。 パート1. MuseScore
• 音楽ソフトウェアコードの欠陥の概要。 パート2. Audacity
• 音楽ソフトウェアコードの欠陥の概要。 パート3. Rosegarden

音楽を扱うための興味深いソフトウェアを知っていて、レビューで見たい場合は、名前をメールで私に送ってください。



プロジェクトでPVS-Studioアナライザーを試すのは非常に簡単です。 ダウンロードページに進んでください。





英語を話す聴衆とこの記事を共有したい場合は、翻訳へのリンクを使用してください：Svyatoslav Razmyslov。 音楽ソフトウェアのコードの欠陥のレビューパート4。