Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
GBP
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
Чем статический анализ отличается от пр…

Чем статический анализ отличается от предупреждений компилятора?

18 Авг 2014

На форумах иногда можно увидеть людей, считающих, что предупреждений компилятора более чем достаточно для контроля над основными типами ошибок в коде программ. Я хочу показать, что это не так.

Специализированные инструменты статического анализа и стандартные средства предупреждений в компиляторах направлены на повышение качества исходного кода и минимизацию потенциальных, трудно уловимых отладкой, ошибок. Так или иначе, сообщения компилятора выдаются на основе статического анализа исходного кода во время компиляции, но использование для диагностирования потенциальных ошибок того или иного способа имеет множество отличий как по качеству предупреждений, так и по возможностям использования.

0274_AnalyzerWarning_ru/image1.png

Анализ компиляторами

Первостепенная задача компилятора состоит в получении бинарного кода из компилируемых исходных файлов. Скорость компиляции – одна из важных его характеристик, поэтому на статический анализ исходного кода отводится не так много времени, чтобы проводить глубокий анализ или оперировать большим количеством диагностических правил. Поэтому компиляторы сообщают только о самых распространённых проблемных конструкциях в коде.

Как продукты разных компаний, многие компиляторы могут сильно отличаться возможностями в выдаче сообщений на подозрительные участки исходного кода, поэтому использование разных компиляторов также может повысить качество программ. Но зачастую нет возможности скомпилировать одну программу разными компиляторами, даже под одну операционную систему. Некоторые компиляторы могут предоставлять собственные расширения языка, неподдерживаемые другими компиляторами, использование которых ухудшает переносимость исходного кода. Также использование платформозависимых конструкций затруднит проверку программы другим компилятором, если он существует только для другой операционной системой.

Сторонние анализаторы

По-другому обстоят дела при использовании специализированных инструментов статического анализа. Будучи развивающимися в одном направлении, такие инструменты являются более гибкими и развитыми в сфере анализа исходного кода программ. В отличии от компиляторов, статические анализаторы предоставляют больше диагностических правил, многие из которых диагностируют очень нестандартные и не самые распространённые ошибки.

На примере Visual C++ Compiler и PVS-Studio

В компиляторе Visual C++ есть диагностика C4265, выдающая предупреждения на объявление класса без виртуального деструктора. Это очень полезная диагностика, но она выдаёт предупреждения на все классы, не имеющие виртуального деструктора, поэтому по умолчанию она выключена.

Аналогичная диагностика V599 есть и у статического анализатора PVS-Studio. Будучи специализированным инструментом в этой области, анализатор имеет более интеллектуальный алгоритм, выдающий предупреждение только в том случае, если в базовом конструкторе есть хотя бы одна виртуальная функция и объект этого класса уничтожается с помощью оператора delete.

Другой пример связан с использованием функции memset. Рассмотрим следующий пример кода.

void Foo()
{
  char password[MAX_PASSWORD_LEN];
  InputPassword(password);
  ProcessPassword(password);
  memset(password, 0, sizeof(password));
}

Здесь предполагается очистить буфер, содержащий пароль. Этот код является полностью корректным с точки зрения компилятора, но вызов функции memset будет удалён компилятором без предупреждений, если запустить его с ключом "/O2". Подобное место находит анализатор PVS-Studio с помощью диагностики V597.

Правильный код выглядит следующим образом:

void Foo()
{
  char password[MAX_PASSWORD_LEN];
  InputPassword(password);
  ProcessPassword(password);
  RtlSecureZeroMemory(password, sizeof(password));
}

Для очистки буферов, содержащих приватную информацию, необходимо использовать специальную функцию RtlSecureZeroMemory.

Заключение

В заключение отметим основные моменты о средствах анализа исходного кода:

  • Анализ кода не является основной задачей компилятора.
  • Использование различных компиляторов для анализа затруднительно, хотя и желательно.
  • Компиляторы охватывают небольшой перечень распространённых ошибок.
  • Статические анализаторы специализируются только на анализе.
  • Статические анализаторы имеют обширную базу диагностических правил.
  • Идеология некоторых диагностик не исключает ложные срабатывания.
  • Можно использовать различные анализаторы, независимо от используемого компилятора.

Использование различных инструментов статического анализа, отличающихся методологией анализа, безусловно повысит качество кода вашей программы.

Популярные статьи по теме
Главный вопрос программирования, рефакторинга и всего такого

Дата: 14 Апр 2016

Автор: Андрей Карпов

Вы угадали, ответ - "42". Здесь приводится 42 рекомендации по программированию, которые помогут избежать множества ошибок, сэкономить время и нервы. Автором рекомендаций выступает Андрей Карпов - тех…
Зло живёт в функциях сравнения

Дата: 19 Май 2017

Автор: Андрей Карпов

Возможно, читатели помнят мою статью под названием "Эффект последней строки". В ней идёт речь о замеченной мной закономерности: ошибка чаще всего допускается в последней строке однотипных блоков текс…
Эффект последней строки

Дата: 31 Май 2014

Автор: Андрей Карпов

Я изучил множество ошибок, возникающих в результате копирования кода. И утверждаю, что чаще всего ошибки допускают в последнем фрагменте однотипного кода. Ранее я не встречал в книгах описания этого …
Как и почему статические анализаторы борются с ложными срабатываниями

Дата: 20 Мар 2017

Автор: Андрей Карпов

В своей предыдущей статье я писал, что мне не нравится подход, при котором статические анализаторы кода оцениваются с помощью синтетических тестов. В статье приводился пример, воспринимаемый анализат…
Технологии, используемые в анализаторе кода PVS-Studio для поиска ошибок и потенциальных уязвимостей

Дата: 21 Ноя 2018

Автор: Андрей Карпов

Краткое описание технологий, используемых в инструменте PVS-Studio, которые позволяют эффективно обнаруживать большое количество паттернов ошибок и потенциальных уязвимостей. Статья описывает реализа…
PVS-Studio ROI

Дата: 30 Янв 2019

Автор: Андрей Карпов

Время от времени нам задают вопрос, какую пользу в денежном эквиваленте получит компания от использования анализатора PVS-Studio. Мы решили оформить ответ в виде статьи и привести таблицы, которые по…
Характеристики анализатора PVS-Studio на примере EFL Core Libraries, 10-15% ложных срабатываний

Дата: 31 Июл 2017

Автор: Андрей Карпов

После большой статьи про проверку операционной системы Tizen мне было задано много вопросов о проценте ложных срабатываний и о плотности ошибок (сколько ошибок PVS-Studio выявляет на 1000 строк кода)…
Статический анализ как часть процесса разработки Unreal Engine

Дата: 27 Июн 2017

Автор: Андрей Карпов

Проект Unreal Engine развивается - добавляется новый код и изменятся уже написанный. Неизбежное следствие развития проекта - появление в коде новых ошибок, которые желательно выявлять как можно раньш…
Как PVS-Studio оказался внимательнее, чем три с половиной программиста

Дата: 22 Окт 2018

Автор: Андрей Карпов

PVS-Studio, как и другие статические анализаторы кода, часто выдаёт ложные срабатывания. Но не стоит спешить считать странные срабатывания ложными. Это короткая история о том, как PVS-Studio вновь ок…
Любите статический анализ кода!

Дата: 16 Окт 2017

Автор: Андрей Карпов

Я в шоке от возможностей статического анализа кода, хотя сам участвую в разработке инструмента PVS-Studio. На днях я был искренне удивлён тому, что анализатор оказался умнее и внимательнее меня.

Комментарии (0)

Следующие комментарии

На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять