PVS-Studio 2018：CWE、Java、RPG、macOS、Keil、IAR、MISRA

2018が近づいているので、PVS-Studio静的アナライザーの開発の新しい方向を考える時が来ました。 今、私たちにとって最も興味深いのは、Java言語のサポートです。 さらに、IBM RPG言語のサポートを検討しています。 潜在的な脆弱性を特定する方向でC、C ++ C＃コードの分析を開発することも同様に興味深いことです。 また、macOSプラットフォームでのCおよびC ++コードの分析をサポートし、最終的にKeilおよびIARのコンパイラーのサポートを完了したいと考えています。 MISRA標準をサポートすることはできません。 多くがリストされており、2018年だけでは十分ではありません。 したがって、計画について話し合い、最も優先度の高い分野を選択しましょう。



最初に、 PVS-Studio静的コードアナライザーの既に実装されている機能を思い出させてください。

• C、C ++、C ++ / CLI、C ++ / CX、およびC＃プログラムのコードにおける広範なエラーおよび潜在的な脆弱性の特定。
• Visual Studio 2010-2017との便利で簡単な統合。 再コンパイル後の個々のファイルの自動分析が可能です。
• コマンドラインから実行してソリューション全体を確認します。PVS-Studioを夜間ビルドに統合して、午前中に全員が新しいログを取得できるようにします。 または、BlameNotifierユーティリティを使用して、夜間の実行中にPVS-Studioが検出したエラーについて開発者に手紙を送信できます。
• 優れたスケーラビリティ。 使用するコアの数をカスタマイズして、マルチコアおよびマルチプロセッサシステムをサポートします。 IncrediBuildをサポートします。
• PVS-Studioウィンドウでの分析結果（ログ）のインタラクティブフィルタリング：診断コード、ファイル名、診断テキストに単語を含める。
• Linuxで開発されたプロジェクトに統合するための多数のオプション。
• 誤ったアラームとしてマーク-ファイルの特定のフラグメントの特定の診断で誓わないようにコード内のマークアップ。 特別なタイプのコメントを使用して、マクロに関連する警告を抑制することもできます。
• 大量抑制-古いメッセージをすべて抑制できるため、アナライザは0の陽性を生成します。 後で抑制されたメッセージにいつでも戻ることができます。 PVS-Studioを既存の開発プロセスにシームレスに統合し、新しいコードでのみエラーに集中する機能。
• PVS-Studioの新しいバージョンを自動的に確認します（IDEで作業しているときとナイトリービルド中の両方）。
• レポートを別のマシンに転送するには、レポートファイルで相対パスを使用します。
• CLMonitoring-Visual Studioファイル（.sln / .vcxproj）を持たないプロジェクトをチェックします。 突然CLMonitoring機能が十分にない場合は、PVS-StudioをMakefileベースのビルドシステムに手動で統合できます。 Linux用の同様のユーティリティはpvs-studio-analyzerと呼ばれます。
• 名前、フォルダー、またはマスクによって分析からファイルを除外する機能。 過去N日間に変更されたファイルをチェックする機能。
• SonarQubeとの統合。 これは、ソースコードの継続的な品質管理のためのオープンプラットフォームです。
• 短いバージョンとフルバージョンのHTMLレポート。 フルバージョンには、ファイルのソースコードが含まれており、ファイル間を移動できます。

サポートされている言語とコンパイラ：

• 窓 Visual Studio 2017 C、C ++、C ++ / CLI、C ++ / CX（WinRT）、C＃
• 窓 Visual Studio 2015 C、C ++、C ++ / CLI、C ++ / CX（WinRT）、C＃
• 窓 Visual Studio 2013 C、C ++、C ++ / CLI、C ++ / CX（WinRT）、C＃
• 窓 Visual Studio 2012 C、C ++、C ++ / CLI、C ++ / CX（WinRT）、C＃
• 窓 Visual Studio 2010 C、C ++、C ++ / CLI、C＃
• 窓 MinGW C、C ++
• Windows / Linux Clang C、C ++
• Linux GCC C、C ++

すでにあるものを簡単にリストしました。 詳細はドキュメントに記載されています 。 次に、新しいバージョンで何が表示されるかを見てみましょう。

潜在的な弱点、CWE

PVS-Studioアナライザーは、すでに多数の潜在的な脆弱性（弱点）を検出できます。 PVS-Studioのバージョンがまもなく表示され、ほとんどの警告はCWE分類に従って1つまたは別の識別子に対応します。

図N1。 CWE列が含まれています。



ただし、これは2017年の発信で行う最初の段階に過ぎません。 来年、潜在的な脆弱性の検索の実装に関連するより興味深い作業を待っています。 この方向で、C、C ++、およびC＃のいくつかの特別な診断を行う予定です。 例として、計画されている診断の1つについて説明します。



課題トラッカーから説明をします。



まず、「信頼性の低いデータ」の概念を導入する必要があります。 これは外部からのデータです。 信頼できないデータの例：

• fread関数を使用して読み取られたバッファデータ
• recv関数を使用して取得したバッファー内のデータ
• scanf（ "％s"、...）で読み取られたバッファー（行）内のデータ
• fscanfで読み取られた整数変数（ "％i"、...）
• freadで読み取られる整数変数（＆integer、sizeof（int）、1、file）
• ストリームから読み取られる整数変数： wcin >> n;
• 他の方法で外部から取得した整数変数： n = GetFileSize（h、x）;
• GetServerVariable 、 ReadClient関数を使用して情報を取得します（一部のフィールドはEXTENSION_CONTROL_BLOCK構造体から読み取られます）
• などなど

変数/バッファは、何らかの値のチェックが実行されるまで、信頼できないソースと見なされます。 データの信頼性を高めるチェックの例（データが検証され、正しい）：

• if（n == 2）
• if（strcmp（s1、s2）> 0）
• if（strchr（s1、 'c'）== 0）
• if（n> 1 && n <100）

注1.同時に、ポインターのNULLのチェックは、データの検証としてカウントされません。

char s[100]; scanf("%s", s); if (s) //     . //    . 's' -  .
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

注2.配列および構造用の特別なデータフローメカニズムが必要になりますが、これはPVS-Studioではまだ利用できません。 実際には、個々の要素をチェックしても、バッファ/構造全体の信頼性は向上しません。 説明：

 unsigned char B[2]; if (B[0] < 3) //   ,   . //      . //     " // / ". if (B[0] < 3 && B[1] < 3) //   . //     .
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最も難しいのは、配列全体のこれらのチェックについて考えることです。

 int A[100]; ... for (i = 0; i < 100; ++i) if (A[i] < 10) //    return;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studioが誤ったデータについて認識し始めたら、その使用を検出する診断を行います。 これにより、脆弱性が特定されます。 多くの実際の脆弱性は、受け入れられたバイトが予備検証なしで使用されるという事実によるものです。 使用中は、たとえば次のようなアクションが理解されます：

• if（pinter [unsafe_int] == 1）
• malloc（unsafe_int * sizeof（float））
• ptr + = unsafe_int;
• if（A [unsafe_buffer [1]] == 1）
• memcpy（a、b、unsafe_buffer [i]）
• buffer_size = 1 + unsafe_int;
• printf（unsafe_buffer、1、2）;
• sprintf（normal_bug、unsafe_buffer、1、2）;
• など

注3. strncpyや_tcsncpy_sなどの関数 （3つの引数を持つ関数バリアントを意味する）は、最後に終端ゼロのない文字列を形成できます。 このような文字列は、ヌル終端文字列の入力を待つ将来の関数でそれらに適用するという観点からは安全ではありません。 たとえば、 strlen関数に渡すことはできません。

Java

数ヶ月前、Javaアナライザーは静かに落ち着いて開発されました。 残念ながら、これはバックグラウンドで発生しますが、すべてに十分な強度がないためです。 この取り組みについて話すのは時期尚早です。 データフロー分析では、C ++アナライザーコアに実装されているベストプラクティスを使用することのみを計画していることに注意してください。



Javaアナライザーは、Java Native Interface（JNI）を使用してC ++カーネルと対話します。 関数のラッパーを生成するには、SWIG（Simplified Wrapper and Interface Generator）が使用されます。 これにより、C ++アナライザーの機能を再利用でき、パフォーマンスが向上します。



関心を高めるために、PVS-StudioがJavaコードですでに検出できるエラーをいくつか示します。



JMonkeyEngineプロジェクト。 PVS-Studio警告：V6004「then」ステートメントは「else」ステートメントと同等です。 VRMouseManager.java:139、147

 if( environment.isInVR() == false ){ Texture tex = environment.getApplication(). getAssetManager().loadTexture(texture); mouseImage.setTexture( environment.getApplication().getAssetManager(), (Texture2D)tex, true); ySize = tex.getImage().getHeight(); mouseImage.setHeight(ySize); mouseImage.setWidth(tex.getImage().getWidth()); mouseImage.getMaterial().getAdditionalRenderState(). setBlendMode(BlendMode.Alpha); mouseImage.getMaterial().getAdditionalRenderState(). setDepthWrite(false); } else { Texture tex = environment.getApplication(). getAssetManager().loadTexture(texture); mouseImage.setTexture( environment.getApplication().getAssetManager(), (Texture2D)tex, true); ySize = tex.getImage().getHeight(); mouseImage.setHeight(ySize); mouseImage.setWidth(tex.getImage().getWidth()); mouseImage.getMaterial().getAdditionalRenderState(). setBlendMode(BlendMode.Alpha); mouseImage.getMaterial().getAdditionalRenderState(). setDepthWrite(false); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

上記のコードでは、 thenブロックとelseブロックは同じです。 コードのエラーをチェックするか、重複を削除する価値があります。



RxJavaプロジェクト。 PVS-Studio警告：V6022式 'idx3> 0'は常にtrueです。 JavadocWording.java:865

 if (idx1 > 0 && idx2 > 0 && (idx3 < 0 || (idx2 < idx3 && idx3 > 0))) { .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

おそらく実際のエラーはありませんが、 idx3> 0のチェックは冗長です。 idx2> 0およびidx2 <idx3であるため、 idx3は常にゼロより大きくなります。

IBM RPG

誰がどんな言語なのかを知っているわけではないので、簡単な説明から始めましょう。



IBM RPG（レポートプログラムジェネレーター）は、元々IBMメカニカルタブのコマンド言語に構文が似ていたプログラミング言語です。 これらのタブにサービスを提供したエンジニアの新しいテクノロジーとデータ転送への移行を促進するように設計されました。 もともとIBM 1401用に実装されました。1960年代と1970年代に広く使用されました。

図2. IBM1401。KenRoss とPaul LaughtonによるIBM 1401のデモも参照してください。



IBMは、他のプログラミング言語への翻訳には不利な大量のコードを記述しているため、現在も引き続きこの言語をサポートしています。



2001年にリリースされたRPG IVのバージョンでは、オブジェクトプログラミングの要素が導入されました。



サードパーティのVisual RPGコンパイラは、WindowsおよびGUIサポートを提供します。 また、OpenVMSおよびその他のよりエキゾチックなプラットフォームの実装もあります。



ウィキペディアで言語について詳しく読む： IBM RPG 。 さらに、この言語に関するレビュー記事を近日中に書く予定です。



次に、この言語に注意を払った理由を説明する必要があります。



RPGの静的コード分析に関心のある会社から連絡がありました。 したがって、私たちはこの言語を検討することにし、興味を持ちました。 私たちが理解しているように、多くのコードがサポートされ、新しいフラグメントに追加される必要があるこの言語で書かれています。 同時に、この言語に精通している専門家は非常に少ないため、その品質と正確さを制御する追加の方法を考えています。 このことから、静的コード分析の可能性に関心があります。



CobolやAdaなどの言語用のアナライザーが世界中に出現し、開発され続けているので、RPG用のアナライザーを作成してみませんか。 さらに、この言語はコードアナライザーの観点からいまだに奪われています。 たとえば、 SonarRPGアナライザーがありますが、エラーを検出するための診断は8つしか実装されていません。 これは明らかに十分ではありません。 実際のエラーとタイプミスを特定するために、ユーザーにもっと興味深い診断を提供できると確信しています。



IBM RPG用のアナライザーの作成を急ぐことはありませんが、潜在的な顧客を検索するためにこのトピックを表明することにしました。 組織がIBM RPGを扱っている場合、喜んでRPGアナライザーの開発の見通しについてご意見をお聞かせください。



RPG言語に本当に関心があることがわかったら、2018年にこの方向で作業を開始します。



ご注意 IBM RPGアナライザー（ある場合）は、個別に配送され、特別な価格で提供されます（ヴィンテージはより高価です:)。

図N3。 購入したRPG本。 それらを読むヒーローを見つけることは残っています。

macOS

アナライザーのmacOSバージョンの先行予約とライセンスを提供しています。



macOSバージョンは現在準備ができていませんが、作成するのに複雑なことはありません。 あなたはそれを受け取って作るだけです。 この問題が関連するようになったら、数か月以内にmacOSにPVS-Studioを適応させると思います。 別のことは、私たちがこれを急いでいない間です。 これが他よりも優先度が高いかどうかはわかりません。



したがって、プログラミングコミュニティからの実用的な関心を確保するために、いくつかのライセンスを販売させていただきます。



私たちにとって重要なのは実際的な関心であり、抽象的な関心を「通過」し、 失敗したCppCat製品を作成しました :)。 このような過ちを繰り返さないようにしたいと思います。



準備されていないPVS-Studioを購入することで顧客が受ける利点：

• 年間ライセンスの価格で、PVS-Studioを2年間使用できます。
• ビルドシステムと環境専用の統合が得られます。

ケール、IAR

KeilとIARは、組み込みシステム用のコンパイラを開発しています。 時々、彼らは彼らのサポートを実現するための提案を私たちに書いています。 障害はなく、作業の一部はすでに完了しています。 残念ながら、これを思い起こしてテストするのに十分なリソースがありません。 2018年にKeilとIARの時間を見つけられることを願っています。

ミスラ

最近まで、MISRA規格では、検出できるエラーの数という観点から非常に狭く見ていました。 これは間違ったアプローチです。 MISRAなどの標準のポイントは、プロジェクトでできるだけ多くのエラーを検出しないことです。 その意味は、コードの品質をさらに制御し、潜在的に危険な言語構造の使用に対してプログラマーに警告することです。



たとえば、MISRAルールの1つは、 goto演算子の使用を禁止しています。 そのようなルールを、古くて大規模で、同時に存在するプロジェクトに適用しようとすると、そのようなコード検証から失望する可能性があります。 ほとんど間違いなく、エラーはありませんが、 gotoを取り除くために多数のアルゴリズムを書き換える必要があります。 これは、コードリファクタリングのプロセスで誤ってエラーを導入することにより、得るよりも害を及ぼす可能性があります。



MISRA標準の使用方法は異なります。 アプリケーションは、標準で規定されている規則を考慮してすぐに作成する必要があります。 比Fig的に言えば、MISRAは既存のgotoを処理する方法ではなく、コードを記述するときにこれらのgotoが使用されないようにする方法です。



MISRA規格に対する姿勢を改定し、それが本当に必要であることを理解しましたが、「大規模なプロジェクトを実施し、PVS-Studioを起動し、エラーを検出しました」というモデルには適合しません。 潜在的なお客様は、MISRAを同時に使用し、タイプミスを見つけたいと考えています。これはPVS-Studioが完全に明らかにしています。



私たちはお客様に会い、PVS-StudioでMISRA CおよびMISRA C ++標準のサポートに取り組み始めました。 デフォルトでは、MISRAアラートは無効になっています。 「コメントを使用できません/ * * /、使用する必要があります」などのメッセージでレポートウィンドウを詰まらせたくありません。 ただし、MISRA診断キットはいつでもオンにして、定期的に使用を開始できます。

おわりに

ご覧のとおり、2018年には多くの計画があります。 この記事は、新しい潜在的なユーザーとの議論を開始し、彼らがより興味を持っているものを見つけるための口実として書かれています。 積極的に活動し、意見を表明して意見を書いてください。 ライセンスの事前注文は特に良い言葉です:)。

2018年の新年にご期待いただき、ありがとうございます！