PVS-Studio 7.04

El verano no es solo una temporada de vacaciones, sino también un tiempo de trabajo fructífero. Los días soleados tienen tanta energía que tienen suficiente energía para las caminatas tardías y los voluminosos compromisos de código. El segundo lanzamiento de verano de PVS-Studio 7.04 resultó ser bastante grande, por lo que le presentamos un comunicado de prensa en el que hablaremos de todo.

PVS-Studio es una herramienta para detectar errores y vulnerabilidades potenciales en el código fuente de programas escritos en C, C ++, C # y Java. Se ejecuta en Windows, Linux y macOS.

Las capacidades del analizador están bien demostradas por la extensa colección de errores en el código que encontramos durante la verificación de varios proyectos abiertos.

Le presentamos una descripción general de las nuevas funciones incluidas en el lanzamiento de PVS-Studio 7.04.

Buscar archivos con licencias Copyleft

Desarrolladores de donde simplemente no obtienen el código, trabajando en la tarea. Una fuente popular para el código Copy-Paste es el sitio Stackoverflow y similares. Pero puede haber situaciones en las que el programador toma el código del proyecto Open Source y no verifica los requisitos de la licencia. Por lo tanto, varios archivos del proyecto de código abierto con licencia Copyleft pueden entrar accidentalmente en un proyecto de código cerrado, es decir. obligando a hacer público todo el código del proyecto. En las empresas con una gran cantidad de empleados, es difícil realizar un seguimiento, y los riesgos y problemas pueden ser graves debido a tales acciones. Entonces, en PVS-Studio para todos los lenguajes compatibles (C, C ++, C #, Java), han aparecido diagnósticos que ayudarán a encontrar dichos archivos.

Números de diagnóstico para diferentes idiomas:

• C, C ++: V1042
• C #: V3144
• Java: V6071

Analicemos estos diagnósticos con más detalle y analicemos para qué están hechos. Un ejemplo de un comentario sobre el cual el analizador emitirá una advertencia:

/* This program is free software: you can redistribute it and/or modify * it under the terms of the GNU General Public License as published by * the Free Software Foundation, either version 3 of the License, or * (at your option) any later version. * * This program is distributed in the hope that it will be useful, * but WITHOUT ANY WARRANTY; without even the implied warranty of * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the * GNU General Public License for more details. * * You should have received a copy of the GNU General Public License * along with this program. If not, see <https://www.gnu.org/licenses/>. */ 

Para proyectos cerrados

Si agrega un archivo con dicha licencia (GPL3 en este caso) a un proyecto cerrado, el resto del código fuente deberá abrirse, debido a la naturaleza de esta licencia.

Este tipo de licencia copyleft se denomina licencia " viral ", debido a su capacidad de propagarse a otros archivos de proyecto. El problema es que el uso de al menos un archivo con una licencia similar en un proyecto cerrado automáticamente abre todo el código fuente y le obliga a distribuirlo junto con los archivos binarios.

Diagnóstico busca las siguientes licencias "virales":

• AGPL-3.0
• GPL-2.0
• GPL-3.0
• LGPL-3.0

Existen las siguientes opciones, lo que puede hacer cuando descubre el uso de archivos con licencia copyleft en un proyecto cerrado:

1. Negarse a usar este código (biblioteca) en su proyecto;
2. Reemplazar la biblioteca utilizada;
3. Haz que tu proyecto sea abierto.

Para proyectos de código abierto.

Entendemos que este diagnóstico no es apropiado para proyectos de código abierto. El equipo de PVS-Studio contribuye al desarrollo de proyectos abiertos, ayuda a corregir errores en ellos y proporciona opciones de licencia gratuitas. Sin embargo, nuestro producto es una solución B2B y, por lo tanto, este diagnóstico está habilitado de forma predeterminada.

Si su código se distribuye bajo una de las licencias copyleft anteriores, puede deshabilitar este diagnóstico de las siguientes maneras (para C \ C ++ es V1042):

• Si usa el complemento PVS-Studio para Visual Studio, vaya a Opciones> PVS-Studio> Errores detectables> 1. Análisis general> V1042, puede desactivar la visualización de este diagnóstico en la ventana de salida del analizador. La desventaja de este método es que el error aún se escribirá en el registro del analizador cuando se guarde (o si el análisis se inició desde la línea de comandos). Por lo tanto, al abrir dicho registro en otra máquina o convertir los resultados del análisis a un formato diferente, los mensajes deshabilitados de esta manera pueden aparecer nuevamente.
• Si no utiliza el complemento, desea bloquear la regla para todo el comando o eliminar sus mensajes del informe del analizador, entonces puede agregar el comentario "// - V :: 1042" al archivo de configuración (.pvsconfig) o a uno de los archivos de encabezado global. Para los desarrolladores que usan Visual C ++, una buena opción sería agregar este comentario al archivo stdafx.h. Este comentario le dice al analizador que desactive el diagnóstico V1042. Para obtener más información sobre cómo deshabilitar los diagnósticos mediante comentarios, consulte la documentación .
• Si la utilidad Plog Converter se usa para convertir informes, puede desactivar los diagnósticos con el interruptor "-d".

Para C #, significa V3144, respectivamente, y para Java - V6071.

Agregar a la lista de licencias peligrosas

Si también conoce los tipos de licencias "virales" que la herramienta no detecta actualmente, puede informarnos sobre ellos a través del formulario de comentarios . Y agregaremos su identificación en la próxima versión.

Nuevos diagnósticos

C, C ++ (general)

• V1040 . Posible error tipográfico en la ortografía de un nombre de macro predefinido.
• V1041 . El miembro de la clase se inicializa con una referencia colgante.
• V1042 . Este archivo está marcado con licencia copyleft, que requiere que abra el código fuente derivado.
• V1043 . Una variable de objeto global se declara en el encabezado. Se crearán varias copias en todas las unidades de traducción que incluyen este archivo de encabezado.

También me gustaría mencionar los diagnósticos con el número V1040 . Incluso en estado beta, ya encontró un error interesante en la biblioteca del conocido proyecto CMake:

V1040 Posible error tipográfico en la ortografía de un nombre de macro predefinido. La macro '__MINGW32_' es similar a '__MINGW32__'. winapi.h 4112

 /* from winternl.h */ #if !defined(__UNICODE_STRING_DEFINED) && defined(__MINGW32_) #define __UNICODE_STRING_DEFINED #endif 

Aquí hicieron un error tipográfico en el nombre __MINGW32_ . Al final, falta un guión bajo. Si busca por código con este nombre, puede asegurarse de que el proyecto realmente use la versión con dos guiones bajos en ambos lados:

Puede ver todos los errores encontrados en el proyecto CMake en el artículo " CMake: el caso en que la calidad de su código es inexcusable para el proyecto ".

C, C ++ (MISRA)

• V2551 . Misra La variable debe declararse en un ámbito que minimice su visibilidad.
• V2552 . Misra Las expresiones con el tipo subyacente enum deben tener valores correspondientes a los enumeradores de la enumeración.
• V2553 . Misra El operador unario menos no debe aplicarse a una expresión del tipo sin signo.
• V2554 . Misra La expresión que contiene incremento (++) o decremento (-) no debería tener otros efectos secundarios.
• V2555 . Misra Expresión de desplazamiento incorrecta.
• V2556 . Misra Uso de un puntero a ARCHIVO cuando la secuencia asociada ya se ha cerrado.
• V2557 . Misra El operador del operador de sizeof () no debería tener otros efectos secundarios.

C #

• V3140 Los accesos de propiedad utilizan diferentes campos de respaldo.
• V3141 . La expresión bajo 'throw' es un nulo potencial, que puede conducir a NullReferenceException.
• V3142 . Código inalcanzable detectado. Es posible que haya un error presente.
• V3143 . El parámetro 'valor' se reescribe dentro de un establecedor de propiedades, y no se usa después de eso.
• V3144 . Este archivo está marcado con licencia copyleft, que requiere que abra el código fuente derivado.
• V3145. Desreferencia insegura de un objetivo WeakReference. El objeto podría haberse recolectado como basura antes de acceder a la propiedad 'Destino'.

También en el analizador de C #, se ha agregado el cálculo de los valores de retorno / escritura de los métodos de acceso de propiedad get y set y los métodos asíncronos.

Actualmente estamos trabajando para mejorar el seguimiento de los valores de campo y las propiedades de los objetos al pasarlos a los métodos, así como el seguimiento del contenido de las tuplas. Estas mejoras estarán disponibles en la próxima versión del analizador.

Java

• V6068 Uso sospechoso de la clase BigDecimal.
• V6069 Asignación de desplazamiento a la derecha sin signo del valor negativo 'byte' / 'short'.
• V6070 Sincronización insegura en un objeto.
• V6071 Este archivo está marcado con licencia copyleft, que requiere que abra el código fuente derivado.

SonarQube 7.9 LTS

Lanzamiento tan esperado

Han pasado casi 2 años desde el último lanzamiento de la versión LTS de SonarQube 6.7. Se esperaba una nueva versión con celo especial, comenzando con SQ 7.x, y cuando se lanzó LTS, los usuarios comenzaron a cambiarlo activamente, lo que causó varios problemas. SQ 7.9.1 LTS se lanzó pronto con correcciones menores, y los desarrolladores de complementos de terceros también prepararon parches.

Afortunadamente, en el complemento PVS-Studio solo hubo un pequeño problema asociado con la transición a Java 11, que solucionamos rápidamente, y nuestros clientes cambiaron inmediatamente a una versión funcional.

También mantuvimos la compatibilidad con versiones anteriores de SonarQube, y la lista de versiones compatibles ahora se ve así: SonarQube 6.7 LTS y superior .

Más complementos de idiomas compatibles

El complemento PVS-Studio solo convierte los resultados del análisis al formato de la base de datos SonarQube. En otras palabras, simplemente carga los resultados del análisis PVS-Studuio en SQ. Pero para el funcionamiento completo de la utilidad SonarScanner, se deben instalar complementos para lenguajes de programación. No comenzamos a desarrollar lo que ya existe, por lo tanto, simplemente agregamos soporte para complementos populares ya existentes. En esta versión, agregamos compatibilidad con los complementos de lenguaje Sonar C Community y SonarCFamily.

La lista completa de complementos de idiomas compatibles se ve así:

• Comunidad Sonar C ++
• Comunidad sonar c
• SonarC #
• Sonarjava
• SonarCFamily (SQ Developer Edition)

Para descargar los resultados del análisis PVS-Studio, es suficiente instalar al menos un complemento de esta lista. La mayoría de los usuarios solo necesitan instalar Sonar C ++ Community, SonarC # o SonarJava. Es posible que se necesiten otros complementos para proyectos más específicos.

Al elegir complementos, es necesario tener en cuenta el hecho de que los complementos de la comunidad no son compatibles con SonarCFamily. Pero si usa solo SonarQube Community Edition, tal problema no surgirá.

Nueva página de configuración

Anteriormente, podía configurar el analizador solo a través del archivo de configuración sonar-project.properties . No hay quejas sobre este método. Es muy conveniente y se usa en el 99% de los casos, pero adicionalmente hicimos la página de configuración en Administración> Configuración> PVS-Studio en el servidor SonarQube, porque También es conveniente usarlo en algunos escenarios.

La página de configuración se ve así:

Al establecer la configuración de dos maneras, se da prioridad a las especificadas en el archivo sonar-project.properties .

Plugin para IntelliJ IDEA

Los lanzamientos de las nuevas versiones de IntelliJ IDEA y PVS-Studio difieren en fechas, y recientemente hubo una situación en la que se lanzó IntelliJ IDEA 192. *, pero el complemento PVS-Studio no estaba instalado en él. En esta versión, agregamos soporte para la última versión de IntelliJ IDEA, y también realizamos mejoras para evitar problemas similares en el futuro.

Complementos para Jenkins

PVS-Studio Plugin

PVS-Studio Plugin está destinado a publicar los resultados del analizador PVS-Studio en el sistema de integración continua Jenkins en formato HTML. Anteriormente, este complemento solo estaba disponible para usuarios de Windows, ya que llamó al convertidor de informes automáticamente y lo hizo solo para Windows. En PVS-Studio 7.04, el complemento solo admite informes HTML, que deben generarse en un paso separado, pero esto permitió que el complemento fuera multiplataforma.

Advertencias NG Plugin

Para Jenkins, hay un complemento de complemento de advertencias de próxima generación útil para ver los resultados de análisis de varias herramientas. Recientemente, agregamos soporte para PVS-Studio en él. La capacidad de cargar los resultados de análisis de PVS-Studio usando este complemento se hizo disponible en la versión 6.0.0 , cuyo lanzamiento coincidió con el lanzamiento de PVS-Studio 7.04:

Otras mejoras

PVS-Studio_Cmd

Un modo de operación especial: se agregaron credenciales a PVS-Studio_Cmd.exe . Este modo le permite crear un archivo de configuración e ingresar información de licencia sin usar una interfaz GUI (por ejemplo, un complemento para Visual Studio o la utilidad UI de monitoreo del compilador C y C ++). Este modo es especialmente relevante cuando se usa en el servidor de compilación (donde las utilidades de la GUI pueden no describirse), en contenedores y cuando se integra con soluciones en la nube.

Análisis de proyectos de motor irreal

En el complemento PVS-Studio para Visual Studio, se agregó la opción AutoloadUnrealEngineLog , cuya inclusión le permite cargar automáticamente el informe del analizador en la ventana de salida de PVS-Studio después de pasar el análisis. Sin esta opción, la carga del registro debe realizarse manualmente a través del menú del complemento.

Además, en la sección de documentación " Prueba de proyectos de Unreal Engine ", se describieron cambios en los scripts de ensamblaje estándar que permitirán el ensamblaje y el análisis en una sola acción. Sin modificar los scripts (al agregar el indicador -StaticAnalyzer = PVSStudio a los argumentos de inicio), solo se analiza el proyecto, sin generarlo .

CLMonitor

Para la utilidad CLMonitor, se ha agregado la capacidad de rastrear los lanzamientos de compiladores para un proceso específico. Esto le permitirá rastrear los inicios de compiladores relacionados solo con un proyecto específico, incluso cuando construye varios proyectos en paralelo. Para trabajar en este modo, se utilizan los indicadores --parentProcessID% PID% (CLMonitor supervisa los procesos que son secundarios en relación con lo especificado) y --attach (CLMonitor supervisa los procesos que son secundarios en relación con la consola actual).

pvs-studio-analyzer

El indicador --ignore-ccache se ha agregado a la utilidad pvs-studio-analyzer , que está diseñada para probar proyectos en Linux y macOS:

 pvs-studio-analyzer analyze ... --ignore-ccache ... 

Si la utilidad ccache se usa en el ensamblaje del proyecto, PVS-Studio funciona en modo de análisis incremental. Para verificar el proyecto por completo sin soltar el caché de la utilidad ccache , use este indicador.

Enlaces de sitio

Para estar al día de nuestras nuevas publicaciones, lo invitamos a suscribirse a nosotros:

1. Twitter: pvsstudio_rus
2. VKontakte: analizador PVS-Studio
3. Facebook: @StaticCodeAnalyzer
4. Instagram: @pvsstudio_rus
5. Telegrama: PVS-Studio rus
6. RSS: viva64-blog-es

PVS-Studio:

1. Página del producto
2. Descargar
3. La documentación
4. Los clientes

Si desea compartir este artículo con una audiencia de habla inglesa, utilice el enlace a la traducción: Svyatoslav Razmyslov. PVS-Studio 7.04 .