PVS-Studio für Visual Studio

Viele unserer Artikel widmen sich irgendetwas, aber nicht dem PVS-Studio-Tool selbst. Wir tun jedoch viel, um Entwicklern die Verwendung unseres Tools zu erleichtern. Aber genau das ist oft hinter den Kulissen. Ich habe beschlossen, diese Situation zu beheben und über das PVS-Studio-Plugin für Visual Studio zu sprechen. Wenn Sie Visual Studio verwenden, ist dieser Artikel genau das Richtige für Sie.

Was ist statische Code-Analyse und warum wird sie benötigt?

Bei der statischen Code-Analyse werden Fehler und Mängel im Quellcode von Programmen identifiziert. Die statische Analyse kann als automatisierter Codeüberprüfungsprozess betrachtet werden. Eine kollaborative Codeüberprüfung ist eine großartige Methode. Es hat aber auch einen erheblichen Nachteil - hohe Kosten. Es ist notwendig, regelmäßig mehrere Programmierer zusammenzubringen, um den neuen Code zu überprüfen oder den Code nach Abgabe von Empfehlungen erneut zu überprüfen.

Einerseits möchte ich den Code regelmäßig überprüfen. Andererseits ist es zu teuer. Der Kompromiss sind statische Code-Analyse-Tools. Sie verarbeiten unermüdlich den Quellcode von Programmen und geben dem Programmierer Empfehlungen, bestimmte Abschnitte des Codes stärker zu berücksichtigen. Natürlich ersetzt das Programm keine vollständige Überprüfung des von einem Programmierteam ausgeführten Codes. Das Nutzen-Preis-Verhältnis macht die Verwendung statischer Analysen für viele Unternehmen jedoch zu einer sehr nützlichen Praxis. Wenn der Leser an bestimmten Zahlen interessiert ist, schlage ich vor, den Artikel " PVS-Studio ROI " kennenzulernen .

Es gibt eine große Anzahl kommerzieller und kostenloser statischer Code-Analysatoren. Eine große Liste statischer Analysatoren ist auf Wikipedia verfügbar: Liste der Tools für die statische Code-Analyse . Die Liste der Sprachen, für die statische Codeanalysatoren existieren, ist ebenfalls ziemlich groß (C, C ++, C #, Java, Ada, Fortran, Perl, Ruby, ...). Natürlich werden wir Sie über den PVS-Studio- Analysator informieren.

Der Hauptvorteil der statischen Analyse ist die Möglichkeit einer signifikanten Reduzierung der Kosten für die Beseitigung von Programmfehlern. Je früher der Fehler erkannt wird, desto geringer sind die Kosten für die Behebung. Nach den Daten in McConnells Buch "Perfect Code" kostet die Behebung eines Fehlers in der Testphase zehnmal mehr als in der Entwurfsphase (beim Schreiben):

Abbildung 1. Die durchschnittlichen Kosten für die Behebung von Fehlern in Abhängigkeit vom Zeitpunkt ihrer Einführung und Erkennung (die Daten für die Tabelle stammen aus dem Buch von S. McConnell "Perfect Code").

Mit statischen Analysetools können Sie eine große Anzahl von Fehlern in der Entwurfsphase identifizieren, wodurch die Kosten für die Entwicklung des gesamten Projekts erheblich gesenkt werden. Beispielsweise kann der statische Code-Analysator PVS-Studio unmittelbar nach der Kompilierung im Hintergrund gestartet werden. Wenn ein potenzieller Fehler gefunden wird, wird der Programmierer benachrichtigt. Mehr zu diesem Modus wird unten beschrieben.

PVS-Studio Static Code Analyzer

PVS-Studio ist ein statischer Analysator, der Fehler und potenzielle Schwachstellen im Quellcode von Anwendungen in C, C ++ (Erweiterungen werden ebenfalls unterstützt: C ++ / CLI und C ++ / CX ), C # und Java auf Windows-, Linux- und MacOS-Plattformen erkennt. Der Analysator lässt sich perfekt in Visual Studio 2010 - 2019 und IntelliJ IDEA integrieren. In diesem Artikel werden wir uns die Arbeit von PVS-Studio zur Überprüfung von Code in C, C ++ und C # genauer ansehen. Hier erfahren Sie, wie Sie mit PVS-Studio Java-Code in IntelliJ IDEA testen.

Nach der Installation von PVS-Studio und der Integration in Visual Studio erhalten Benutzer im Hauptmenü einen zusätzlichen Eintrag „PVS-Studio“ und ein Fenster zum Arbeiten mit Diagnosemeldungen (siehe Abbildung 2).

Abbildung 2. Die wichtigsten Elemente, die der PVS-Studio-Analysator während der Integration in Visual Studio hinzugefügt hat.

Grundeinstellungen

Der Analysator ist sofort nach der Installation betriebsbereit. In den meisten Fällen müssen Sie nichts konfigurieren, um den ersten Lauf abzuschließen. Das einzige Setup, das Sie zu Beginn möglicherweise benötigen, ist der Ausschluss von Bibliotheken von Drittanbietern. Schließlich werden Sie in den Quelldateien, z. B. in der JPEG-Bibliothek, immer noch nichts bearbeiten, sodass Sie dies nicht überprüfen müssen. Darüber hinaus verkürzt der Ausschluss zusätzlicher Ordner die Analysezeit des Projekts. Die von der Analyse ausgeschlossenen Verzeichnisse werden hier festgelegt: PVS-Studio> Optionen ...> Dateien nicht prüfen> PathMasks (siehe Abbildung 3).

Abbildung 3. Bearbeiten einer Liste von Verzeichnissen, die der Analysator nicht überprüft.

Befindet sich einer der angegebenen Namen im vollständigen Pfad der Datei, wird die Analyse nicht durchgeführt. Standardmäßig sind die Namen einiger Verzeichnisse bereits in der Liste enthalten. In Ihrem Projekt heißt der Ordner mit der ZLib-Bibliothek jedoch möglicherweise nicht "zlib", sondern beispielsweise "zip_lib". Daher sollten Sie diese Liste bearbeiten. Klicken Sie zum Starten der Bearbeitung auf die Schaltfläche mit drei Punkten.

Beispiele für gültige Masken für die PathMasks-Liste:

• c: \ Libs \ - Alle Projektdateien in diesem Ordner und seinen Unterordnern werden ausgeschlossen.
• \ Libs \ oder * \ Libs \ * - Alle Dateien in Verzeichnissen, deren Pfad den Libs-Unterordner enthält, werden ausgeschlossen. Wenn die "*" - Zeichen nicht angegeben werden, werden sie trotzdem automatisch hinzugefügt, sodass beide Aufnahmeoptionen gleich sind.
• Libs oder * Libs * - Alle Dateien werden ausgeschlossen. Der Pfad enthält einen Unterordner mit dem Namen 'Libs' oder einem Fragment eines Namens. Auch in diesem Fall werden Dateien ausgeschlossen, die Libs im Namen enthalten, z. B. c: \ project \ mylibs.cpp. Um Verwirrung zu vermeiden, empfehlen wir, immer Schrägstriche zu verwenden.

Sie können nicht nur ganze Ordner ausschließen, sondern auch Masken angeben, um einzelne Dateien auszuschließen. Hierzu gibt es eine FileNameMasks-Einstellung. Weitere Informationen zum Arbeiten mit Ausschlusslisten finden Sie in der Dokumentation: Einstellungen: Dateien nicht prüfen .

Projektüberprüfung

Nach Abschluss der Grundeinstellungen können Sie mit der Überprüfung des Projekts beginnen. PVS-Studio für Visual Studio unterstützt das Überprüfen von C ++ - (.vcxproj) und C # -Projekten (.csproj). Sie können auch sofort versuchen, eine Lösung zu testen, die Projekte dieser Art in ihrer Gesamtheit enthält. Wählen Sie dazu den Menüpunkt Erweiterungen> PVS-Studio> Prüfen> Lösung (siehe Abbildung 4).

Abbildung 4. Überprüfung der Lösung mit dem PVS-Studio-Analysegerät.

Wenn es Probleme mit der Überprüfung gibt, empfehlen wir Ihnen, den Abschnitt " Kann nicht überprüfen? " Auf unserer Website zu lesen. Dies sind keine ahnungslosen „Überprüfen Sie, ob der Stecker eingesteckt ist“. In diesem Abschnitt werden typische Situationen beschrieben, mit denen Benutzer uns kontaktiert haben, und Handlungsoptionen vorgeschlagen.

Arbeiten mit einer Liste von Diagnosemeldungen

Nach der Überprüfung werden alle Diagnosemeldungen in einem speziellen Fenster angezeigt. Ein Fenster hat viele Steuerelemente. Alle dienen dazu, genau die Diagnosemeldungen anzuzeigen, die für den Benutzer von Interesse sind. Das Fenster mag jedoch zunächst kompliziert erscheinen. Schauen wir uns alle Steuerelemente an (siehe Abbildung 5).

Abbildung 5. Ein Fenster mit Diagnosemeldungen.

1. Eigentlich das PVS-Studio Fenster.
2. Zusätzliches Menü. Ermöglicht den Zugriff auf Optionen wie: Markieren einer Warnung als falsch, Ausblenden von Nachrichten, Hinzufügen von Dateien zu Ausnahmen (mehr dazu weiter unten).
3. Die Schaltfläche enthält die Meldung "Es ist ein Fehler aufgetreten." Beispielsweise können Sie eine der Dateien nicht vorverarbeiten.
4. Gehen Sie zur vorherigen / nächsten Nachricht. Dadurch wird die entsprechende Datei geöffnet und der Cursor mit einem möglichen Fehler in die Zeile gesetzt. Sie können die Diagnose auch jederzeit durch Doppelklick aus der Liste auswählen. Sie können Hotkeys zuweisen , um zur vorherigen / nächsten Nachricht zu springen. Standardmäßig sind dies Alt + '[' und Alt + ']'.
5. Schaltflächen, die Warnungen auf verschiedenen Ebenen enthalten. Jetzt sind die ersten beiden Diagnoseebenen enthalten. Gleichzeitig werden 90 Warnungen der ersten Ebene und 6700 Warnungen der zweiten Ebene im Fenster angezeigt. Die Nachrichtenebene wird auf der linken Seite des Fensters in Form eines Balkens angezeigt, der der Farbe des Balkens auf der Schaltfläche der entsprechenden Ebene entspricht. Warum gibt es so viele positive Aspekte? Woher kommen die 6700 Warnungen? Um die Funktionen der Schnittstelle zu demonstrieren, ist eine Reihe von MISRA- Regeln enthalten, die für normale Anwendungen kontraindiziert sind :).
6. Aktive Diagnoseregelsätze. Allgemein - Allzweckdiagnose, Optimierung - Mikrooptimierung, 64-Bit - 64-Bit - Diagnose, MISRA - MISRA C und MISRA C ++ - Standarddiagnose. Jetzt zeigt das Fenster alle Arten von Warnungen an.
7. Zeigt die Anzahl der als Fehlalarme gekennzeichneten Nachrichten an. Sie können die Anzeige von getaggten Nachrichten in den Einstellungen PVS-Studio> Optionen ...> Spezifische Analyzer-Einstellungen> Fehlalarme anzeigen aktivieren / deaktivieren.
8. Schnelle Filter. Beispielsweise können Sie in der Liste nur Nachrichten mit dem Code V501 hinterlassen, die sich im XYZ-Projekt befinden.
9. Einige Diagnosen empfehlen, nicht auf eine, sondern auf mehrere Zeilen zu achten. In diesem Fall wird neben der Zeilennummer ein Auslassungszeichen angezeigt. Wenn Sie mit der Maus darauf klicken, können Sie eine Liste von Linien anzeigen und eine davon auswählen.

Die Tabelle mit Diagnosemeldungen ist in folgende Spalten unterteilt:

• Level. Zuverlässigkeitsstufe, bei der der Fehler gefunden wird. 1. Stufe (rot) - die verdächtigsten Orte. 3. (gelbe) Stufe - höchstwahrscheinlich eine geringfügige Ungenauigkeit im Code.
• Sternchen Sie hat keinen bestimmten Zweck. Der Benutzer kann es nach eigenem Ermessen interpretieren. Zum Beispiel kann er auf die interessantesten Warnungen für eine weitere sorgfältige Analyse hinweisen. Eine Analogie besteht darin, Buchstaben in einem E-Mail-Programm wie Thunderbird oder Outlook mit einem Sternchen zu markieren.
• ID Eindeutige Nachrichtennummer. Dies kann nützlich sein, wenn Sie mit einer großen Liste arbeiten. Sie können beispielsweise zu der Nachricht mit einer bestimmten Nummer wechseln (siehe Element "Zu ID navigieren ..." im Kontextmenü ).
• Code Nachrichtencode Wenn Sie mit der Maus darauf klicken, wird eine Seite mit einer Beschreibung der Warnung geöffnet.
• CWE. Identifiziert eine Warnung mithilfe des CWE-Codes (Common Weakness Enumeration). Durch Klicken auf den Link sehen Sie eine Beschreibung dieses CWE im Netzwerk.
• Misra. Wie oben, jedoch nur für den MISRA-Standard .
• Nachricht Der Text der Diagnosemeldung.
• Projekt Projektname (Sie können diese Spalte über das Kontextmenü deaktivieren).
• Datei Dateiname.
• Linie Zeilennummer. Wichtig! Bitte beachten Sie, dass nach einigen Zeilen ein Auslassungszeichen angezeigt wird. Beispiel: "123 (...)". Wenn Sie auf diese Nummer klicken, erhalten Sie eine Liste aller Codezeilen, die sich auf diese Nachricht beziehen. In diesem Fall ist es möglich, zu jeder Zeile in der Liste zu wechseln.

Ja, das alles zu lesen war anstrengend. Ich versichere Ihnen jedoch, dass Sie sich mit dem Tool schnell vertraut machen, wenn Sie es verwenden. Und Sie werden selten etwas drücken, um es zu konfigurieren.

Kontextmenü

Durch Doppelklicken auf die Nachricht gelangen Sie zum gewünschten Codefragment. Durch Drücken der rechten Maustaste wird ein Kontextmenü geöffnet.

Das Menü ist recht einfach und Sie sollten den Artikel nicht mit einer Beschreibung der einzelnen Elemente überladen. Wenn etwas nicht klar ist, können Sie einen Blick in die Dokumentation werfen.

Ich möchte jedoch auf eine sehr nützliche Funktion eingehen. Denken Sie daran, dass Sie in den Einstellungen Ordner / Dateien zum Ausschluss hinzufügen können (siehe Abbildung 2). Das Hinzufügen von etwas ist also viel einfacher als es sich anhört!

Achten Sie auf den Punkt "Überprüfen Sie keine Dateien und verbergen Sie nicht alle Nachrichten vor ...". Wenn Sie darauf klicken, kann eine Liste von Pfaden hinzugefügt werden, die der Ausnahme hinzugefügt werden können (siehe Abbildung 6).

Abbildung 6. Ausschließen von Dateien vom Scannen

Sie können entweder eine einzelne Datei oder eines der Verzeichnisse auswählen. Die Abbildung zeigt, dass der Ordner "SDL2-2.0.9 \ src \ haptic \ windows" ausgewählt ist. Dies bedeutet, dass alle Dateien in diesem Ordner und alle Unterordner von der Analyse ausgeschlossen werden. Darüber hinaus werden alle Nachrichten zu diesen Dateien sofort aus der Liste entfernt. Sehr bequem. Sie müssen die Analyse nicht neu starten, um alle testbezogenen Meldungen zu entfernen.

Inkrementeller Analysemodus

Die Einführung in PVS-Studio ist unvollständig, wenn Sie nicht über eine der wichtigsten Funktionen sprechen - die inkrementelle Code- Analyse .

Je früher der Fehler gefunden wird, desto billiger ist es, ihn zu beheben. Es ist ideal, Fehler im bearbeiteten Programmtext sofort hervorzuheben. Es ist jedoch technisch schwierig und ressourcenintensiv. Daher startet PVS-Studio im Hintergrund, wenn der korrigierte Code erfolgreich kompiliert wurde. Somit werden Fehler im gerade geänderten Code gesucht. Die Tatsache, dass die Analyse stattfindet, kann anhand des Symbols im Systembenachrichtigungsbereich beurteilt werden.

Wenn ein Fehler gefunden wird, wird ein Popup-Fenster angezeigt, das vor der Gefahr warnt (siehe Abbildung 7).

Abbildung 7. Eine Popup-Meldung, dass verdächtige Stellen in den bearbeiteten Dateien gefunden wurden.

Wenn Sie auf das Symbol klicken, wird die IDE mit dem Ergebnis der Projektüberprüfung geöffnet (siehe Abbildung 2) und es können verdächtige Codefragmente untersucht werden.

In der Tat ist es einfacher, diesen Modus zu beschreiben, als ihn zu beschreiben. Sie schreiben den Code wie zuvor. Und wenn nötig, wird Sie der Analysator stören. Probieren Sie es aus!

Wir selbst verwenden diesen Modus ständig. Ja, manchmal machen wir auch Codierungsfehler. Die Möglichkeit, sie sofort zu beheben, verkürzt die Zeit zum Erkennen eines Fehlers erheblich und versucht zu verstehen, warum sich das Programm nicht wie geplant verhält. Es ist eine Schande, 15 bis 20 Minuten mit dem Debuggen zu verbringen und dann einen Tippfehler im Index zu finden. Hier ist einer der Fälle, in denen PVS-Studio einen Fehler in PVS-Studio direkt nach dem Erscheinen im Code gefunden hat:

if (in[0] == '\\' && in[1] == '.' && in[1] == '\\') { in += 2; continue; } 

Aber das sind natürlich Blumen. Der PVS-Studio-Analysator kann manchmal viel nützlicher sein. Hier ist eine der Bewertungen zu unserem Analysegerät: " Ein Beispiel für die Verwendung eines statischen Analysegeräts ." Der Text bringt Sie zum Nachdenken.

Ich fasse zusammen. Inkrementelle Analysen sollten Sie unbedingt ausprobieren. Sie werden ihn lieben, sobald Sie ein paar Fehler im neuen Code finden.

PVS-Studio-Funktionen

Lassen Sie uns kurz sein. Es ist unmöglich, alle in PVS-Studio verfügbaren Diagnosen kurz zu beschreiben. Eine vollständige Liste der Diagnosen und deren detaillierte Beschreibung finden Sie in der Dokumentation: Beschreibung der diagnostizierten Fehler . Wir beschränken uns auf eine Tabelle, in der die Diagnose nach Typ gruppiert ist. Einige Diagnosen sind in mehr als einer Gruppe enthalten. Tatsache ist, dass die Aufteilung sehr willkürlich ist. Beispielsweise kann ein Tippfehler zur Verwendung von nicht initialisiertem Speicher führen. Im Gegenteil, einige Fehler haben keinen Platz in der Tabelle gefunden, sie sind zu spezifisch. Die gesamte Tabelle vermittelt jedoch einen Eindruck von der Funktionalität eines statischen Code-Analysators (siehe Abbildung 8).

Abbildung 8. PVS-Studio-Funktionen.

Wie Sie sehen können, manifestiert sich der Analysator so weit wie möglich in Bereichen wie der Suche nach Fehlern, die aufgrund von Tippfehlern aufgetreten sind, Kopieren-Einfügen. Es diagnostiziert Probleme im Zusammenhang mit der Codesicherheit.

Wie das alles in der Praxis funktioniert, erfahren Sie in der Fehlerdatenbank . Wir sammeln in dieser Datenbank alle Fehler, die wir durch Überprüfen verschiedener Open-Source-Projekte gefunden haben.

SAST

PVS-Studio ist ein Tool für statische Anwendungssicherheitstests (SAST). Der Analysator kann potenzielle Schwachstellen im Projektcode identifizieren und die entsprechende Fehlerkennung in einer bestimmten Klassifizierung anzeigen.

PVS-Studio unterstützt die folgenden Fehlerklassifizierungen:

1. CWE
2. SEI CERT
3. Misra

Sie können die Anzeige von CWE-Codes über das Kontextmenü im Analysefenster unter Spalten anzeigen> CWE aktivieren

Abbildung 9. Kontextmenü und ein Beispiel für die Ausgabe von CWE-Codes.

Oder im obigen Menü (Erweiterungen> PVS-Studio> CWE-Codes im Ausgabefenster anzeigen)

Abbildung 10. Das Erweiterungsmenü.

Die MISRA-Diagnose ist in den Einstellungen separat enthalten:

Abbildung 11. Liste der erkannten Fehler.

Lesen Sie hier mehr über diese Klassifikationen.

Überprüfen von Projekten über die Befehlszeile

PVS-Studio_Cmd.exe ist ein Dienstprogramm zum Überprüfen von C ++ / C # Visual Studio-Projekten (.vcxproj / .csproj) und .sln-Lösungen über die Befehlszeile. Dies kann zur Automatisierung der Analyse hilfreich sein. Das Programm befindet sich in dem Verzeichnis, in dem die Installation durchgeführt wurde. Standardmäßig lautet es "C: \ Programme (x86) \ PVS-Studio".

Das Programm hat viele Parameter , aber zuerst brauchen wir nur 3 davon:

• --target: Die zu überprüfende Projekt- oder Lösungsdatei.
• --output: Die Plog-Datei, in die Sie den Bericht schreiben möchten.
• --progress: Überprüfungsfortschritt anzeigen.

So wird der Start aussehen:

Abbildung 12. Die Ausgabe des Programms PVS-Studio_Cmd.exe

Nach der Ausführung erhalten wir eine Plog-Datei mit dem Bericht, dem Pfad, zu dem wir in den Startoptionen angegeben haben. Dieser Bericht kann mit dem Dienstprogramm PlogConverter.exe in andere Formate konvertiert werden. Um den Bericht in der IDE anzuzeigen, doppelklicken Sie einfach im Explorer auf die Plog-Datei.

Sie können die Berichtsdatei auch im Erweiterungsmenü unter Erweiterungen> PVS-Studio> Öffnen / Speichern> Analysebericht öffnen ... öffnen.

Detaillierte Informationen zum Dienstprogramm und seinen Parametern finden Sie in der Dokumentation .

Unterdrückung falscher Warnungen

Einige vom Analysator ausgegebene Meldungen sind unweigerlich falsch. Daran kann nichts geändert werden. Ein statischer Analysator ist nur ein Programm ohne künstliche Intelligenz und kann nicht genau bestimmen, ob er einen echten Fehler gefunden hat oder nicht.

Zur Bekämpfung von Fehlalarmen bietet der Analysator eine Reihe verschiedener Mechanismen. Sie werden in den folgenden Abschnitten der Dokumentation ausführlich beschrieben:

• Feinabstimmung .
• Eine grobe Methode , mit der Sie nur mit Warnungen arbeiten können, die sich auf neuen oder geänderten Code beziehen.

Fazit

Natürlich haben wir hier nicht alles über das Instrument erzählt. Wenn Sie alles erzählen, wird der Artikel zur Dokumentation. Ziel war es zu zeigen, wie einfach es ist, mit dem Tool in der Visual Studio-Umgebung zu arbeiten. Weitere Informationen zu anderen Umgebungen und Betriebsarten finden Sie in der Dokumentation und in anderen Artikeln auf unserer Website . Es gibt übrigens viele interessante Dinge für Programmierer. Komm herumwandern.

Es ist zu beachten, dass PVS-Studio nicht nur in der Umgebung von Microsoft funktioniert. Wir unterstützen auch die Java-Sprache, können unter Linux und MacOS arbeiten, in CMake integrieren und vieles mehr. Weitere Informationen finden Sie in der Dokumentation .

Ich wünsche Ihnen einen codelosen Code und hoffe, dass Ihnen PVS-Studio gefällt. Wenn Sie Fragen haben, helfen wir Ihnen immer weiter. Schreiben Sie uns .

Zusätzliche Ressourcen:

1. Codeüberprüfung
2. Statische Code-Analyse .
3. Tools zur statischen Code-Analyse .
4. SAST .
5. Im PVS-Studio-Analysegerät verwendete Technologien .
6. Laden Sie PVS-Studio herunter und probieren Sie es aus.
7. Unterstützung für Visual Studio 2019 .
8. Besprechen Sie den Preis des PVS-Studio-Analysators für Ihr Team und wie Sie ihn kaufen können: Kaufen Sie PVS-Studio .
9. Ein Beispiel für die Verwendung eines statischen Analysators .
10. Antworten auf häufig gestellte Fragen auf Konferenzen.
11. So starten Sie PVS-Studio Java
12. So führen Sie PVS-Studio unter Linux und MacOS aus

Wenn Sie diesen Artikel einem englischsprachigen Publikum zugänglich machen möchten, verwenden Sie bitte den Link zur Übersetzung: Sergey Larin. PVS-Studio für Visual Studio