पीवीएस-स्टूडियो कोड विश्लेषक में त्रुटियों और संभावित कमजोरियों की खोज के लिए उपयोग की जाने वाली तकनीकें

पीवीएस-स्टूडियो उपकरण में उपयोग की जाने वाली प्रौद्योगिकियों का एक संक्षिप्त विवरण जो बड़ी संख्या में त्रुटि पैटर्न और संभावित कमजोरियों का प्रभावी ढंग से पता लगा सकता है। लेख सी और सी ++ कोड के लिए विश्लेषक के कार्यान्वयन का वर्णन करता है, हालांकि, उपरोक्त जानकारी सी # और जावा कोड के विश्लेषण के लिए जिम्मेदार मॉड्यूल के लिए भी मान्य है।

परिचय

ऐसी गलत धारणाएँ हैं कि स्थिर कोड विश्लेषक नियमित अभिव्यक्ति का उपयोग करके कोड पैटर्न की खोज पर आधारित सरल कार्यक्रम हैं। यह सच्चाई से बहुत दूर है। इसके अलावा, नियमित अभिव्यक्तियों का उपयोग करते हुए त्रुटियों के विशाल बहुमत की पहचान करना संभव नहीं है ।

त्रुटि 10-20 साल पहले मौजूद कुछ उपकरणों के साथ काम करते समय प्रोग्रामर के अनुभव के आधार पर उत्पन्न हुई। उपकरण के काम अक्सर कोड और कार्यों के खतरनाक पैटर्न जैसे स्ट्रैपी , स्ट्रैकट , आदि को खोजने के लिए वास्तव में नीचे आते हैं। इस वर्ग के उपकरणों के प्रतिनिधि के रूप में RATS कहा जा सकता है।

ऐसे उपकरण, हालांकि वे उपयोगी हो सकते हैं, आम तौर पर बेवकूफ और अप्रभावी थे। यह उन समय से है कि कई प्रोग्रामर के पास अभी भी यादें हैं कि स्थिर विश्लेषक बहुत बेकार उपकरण हैं जो मदद से काम में अधिक हस्तक्षेप करते हैं।

समय बीतने लगा, और स्थैतिक विश्लेषणकर्ताओं ने जटिल समाधानों का गठन करना शुरू किया, जो गहराई से कोड विश्लेषण करते हैं और उन त्रुटियों को ढूंढते हैं जो एक चौकस कोड समीक्षा के बाद भी कोड में बने रहते हैं। दुर्भाग्य से, पिछले नकारात्मक अनुभव के कारण, कई प्रोग्रामर अभी भी स्थैतिक विश्लेषण पद्धति को बेकार मानते हैं और इसे विकास प्रक्रिया में पेश करने की कोई जल्दी नहीं है।

इस लेख में मैं स्थिति को थोड़ा ठीक करने की कोशिश करूंगा। मैं पाठकों से त्रुटियों का पता लगाने के लिए पीवीएस-स्टूडियो स्टैटिक कोड एनालाइजर में प्रयुक्त तकनीकों से परिचित होने में 15 मिनट का समय लेता हूं। शायद इसके बाद आप स्थैतिक विश्लेषण के औजारों पर नए सिरे से विचार करेंगे और उन्हें अपने काम में लगाना चाहेंगे।

डेटा प्रवाह विश्लेषण

डेटा स्ट्रीम का विश्लेषण आपको विभिन्न प्रकार की त्रुटियों को खोजने की अनुमति देता है। उनमें से: एक सरणी की सीमा से बाहर जाना, मेमोरी लीक, हमेशा सही / गलत स्थितियां, एक अशक्त सूचक को निष्क्रिय करना आदि।

इसके अलावा, डेटा विश्लेषण का उपयोग उन परिस्थितियों की खोज के लिए किया जा सकता है जब बाहर से कार्यक्रम में आए असत्यापित डेटा का उपयोग किया जाता है। एक हमलावर इस तरह के इनपुट डेटा के सेट को प्रोग्राम फ़ंक्शन को उस तरह से तैयार कर सकता है, जिसकी उसे ज़रूरत है। दूसरे शब्दों में, यह एक अपर्याप्तता के रूप में अपर्याप्त इनपुट नियंत्रण की त्रुटि का उपयोग कर सकता है। पीवीएस-स्टूडियो में असत्यापित डेटा के उपयोग की खोज के लिए, विशेष निदान V1010 को लागू किया गया है और इसमें सुधार जारी है।

डेटा प्रवाह का विश्लेषण ( डेटा-फ्लो विश्लेषण ) एक कंप्यूटर प्रोग्राम में विभिन्न बिंदुओं पर चर के संभावित मूल्यों की गणना करना है। उदाहरण के लिए, यदि पॉइंटर को डिफाइन किया गया है, और यह ज्ञात है कि इस समय यह शून्य हो सकता है, तो यह एक त्रुटि है, और स्थैतिक विश्लेषक इसकी रिपोर्ट करेगा।

आइए त्रुटियों को देखने के लिए डेटा प्रवाह विश्लेषण का उपयोग करने का एक व्यावहारिक उदाहरण देखें। इससे पहले कि हम प्रोटोकॉल बफ़र्स (प्रोटोबॉफ़) परियोजना से एक फ़ंक्शन है, तिथि की शुद्धता की जांच करने के लिए डिज़ाइन किया गया है।

static const int kDaysInMonth[13] = { 0, 31, 28, 31, 30, 31, 30, 31, 31, 30, 31, 30, 31 }; bool ValidateDateTime(const DateTime& time) { if (time.year < 1 || time.year > 9999 || time.month < 1 || time.month > 12 || time.day < 1 || time.day > 31 || time.hour < 0 || time.hour > 23 || time.minute < 0 || time.minute > 59 || time.second < 0 || time.second > 59) { return false; } if (time.month == 2 && IsLeapYear(time.year)) { return time.month <= kDaysInMonth[time.month] + 1; } else { return time.month <= kDaysInMonth[time.month]; } } 

PVS-Studio विश्लेषक ने एक ही बार में फ़ंक्शन में दो तार्किक त्रुटियों का पता लगाया और निम्नलिखित संदेश प्रदर्शित करता है:

• V547 / CWE-571 अभिव्यक्ति 'time.month <= kDaysInMonth [time.month] + 1' हमेशा सत्य होता है। समय .cc 83
• V547 / CWE-571 अभिव्यक्ति 'time.month <= kDaysInMonth [time.month]' हमेशा सही होती है। समय .cc 85

उपप्रकार ध्यान दें "time.month <1 || समय। महीने> 12 "। यदि महीने का मूल्य सीमा के बाहर है [१.१.१२], तो फ़ंक्शन अपना काम करना बंद कर देता है। विश्लेषक इसे ध्यान में रखता है और जानता है कि यदि दूसरा यदि कथन निष्पादित किया जाना शुरू होता है, तो महीने का मूल्य सीमा [1..12] में बिल्कुल निहित है। इसी तरह, वह अन्य चर (वर्ष, दिन, आदि) की सीमा के बारे में जानता है, लेकिन वे अब हमारे लिए दिलचस्प नहीं हैं।

अब सरणी तत्वों तक पहुंचने के लिए दो समान ऑपरेटरों पर एक नज़र डालते हैं: kDaysInMonth [time.month] ।

सरणी को सांख्यिकीय रूप से सेट किया गया है, और विश्लेषक अपने सभी तत्वों के मूल्यों को जानता है:

 static const int kDaysInMonth[13] = { 0, 31, 28, 31, 30, 31, 30, 31, 31, 30, 31, 30, 31 }; 

चूंकि महीने 1 से गिने जाते हैं, विश्लेषक सरणी की शुरुआत में 0 पर विचार नहीं करता है। यह पता चलता है कि रेंज में एक मूल्य [28..31] को सरणी से निकाला जा सकता है।

इस बात पर निर्भर करता है कि वर्ष एक लीप वर्ष है या नहीं, 1 को दिनों की संख्या में जोड़ा जाता है। लेकिन यह हमारे लिए भी दिलचस्प नहीं है। तुलना स्वयं महत्वपूर्ण हैं:

 time.month <= kDaysInMonth[time.month] + 1; time.month <= kDaysInMonth[time.month]; 

रेंज [1..12] (महीने की संख्या) महीने में दिनों की संख्या के साथ तुलना की जाती है।

यह ध्यान में रखते हुए कि पहले मामले में महीना हमेशा फरवरी ( time.month == 2 ) का होता है, हमें लगता है कि निम्नलिखित रेंजों की तुलना की जाती है:

• 2 <= 29
• [1..12] <= [28..31]

जैसा कि आप देख सकते हैं, तुलना का परिणाम हमेशा सच होता है, जो पीवीएस-स्टूडियो विश्लेषक इसके बारे में चेतावनी देता है। दरअसल, कोड में दो समान टाइपो होते हैं। अभिव्यक्ति के बाईं ओर को दिन के वर्ग के सदस्य का उपयोग करना चाहिए, न कि एक महीने का ।

सही कोड इस तरह होना चाहिए:

 if (time.month == 2 && IsLeapYear(time.year)) { return time.day <= kDaysInMonth[time.month] + 1; } else { return time.day <= kDaysInMonth[time.month]; } 

यहां चर्चा की गई त्रुटि को पहले " 31 फरवरी " लेख में वर्णित किया गया था ।

प्रतीकात्मक निष्पादन

पिछले अनुभाग में, हमने एक विधि पर विचार किया जहां विश्लेषक चर के संभावित मूल्यों की गणना करता है। हालांकि, कुछ त्रुटियों को खोजने के लिए, चर के मूल्यों को जानना आवश्यक नहीं है। प्रतीकात्मक निष्पादन का अर्थ है प्रतीकात्मक रूप में समीकरणों को हल करना।

मुझे हमारे त्रुटि डेटाबेस में एक उपयुक्त डेमो नहीं मिला, इसलिए सिंथेटिक कोड उदाहरण पर विचार करें।

 int Foo(int A, int B) { if (A == B) return 10 / (A - B); return 1; } 

PVS-Studio विश्लेषक शून्य से एक चेतावनी V609 / CWE-369 विभाजित करता है। डेनोमिनेटर 'ए - बी' == 0. test.cpp 12

चर ए और बी के मान विश्लेषक के लिए अज्ञात हैं । लेकिन विश्लेषक जानता है कि अभिव्यक्ति 10 / (ए - बी) की गणना के समय , चर ए और बी बराबर हैं। इसलिए, 0 से विभाजन घटित होगा।

मैंने कहा कि ए और बी के मूल्य अज्ञात हैं। सामान्य मामले के लिए, यह सच है। हालांकि, यदि विश्लेषक वास्तविक तर्कों के विशिष्ट मूल्यों के साथ एक फ़ंक्शन कॉल देखता है, तो यह इसे ध्यान में रखेगा। एक उदाहरण पर विचार करें:

 int Div(int X) { return 10 / X; } void Foo() { for (int i = 0; i < 5; ++i) Div(i); } 

पीवीएस-स्टूडियो विश्लेषक शून्य से विभाजन की चेतावनी देता है: V609 CWE-628 को शून्य से विभाजित करें। Denominator 'X' == 0. 'Div' फंक्शन प्रोसेस की वैल्यू '[0..4] है। पहले तर्क का निरीक्षण करें। चेक लाइनें: 106, 110. consoleapplication2017.cpp 106

पहले से ही प्रौद्योगिकियों का मिश्रण यहां काम करता है: डेटा प्रवाह विश्लेषण, प्रतीकात्मक निष्पादन और स्वचालित विधि एनोटेशन (हम अगले खंड में इस तकनीक पर चर्चा करेंगे)। विश्लेषक देखता है कि Div फ़ंक्शन में चर X को भाजक के रूप में उपयोग किया जाता है। इसके आधार पर, डिव फ़ंक्शन के लिए एक विशेष एनोटेशन स्वचालित रूप से बनाया गया है। यह ध्यान में रखा जाता है कि मानों की एक सीमा [0..4] एक तर्क X के रूप में फ़ंक्शन को दी जाती है। विश्लेषक का निष्कर्ष है कि 0 से विभाजन होना चाहिए।

विधि एनोटेशन

हमारी टीम ने हजारों कार्य और वर्ग प्रदान किए हैं:

• WinAPI
• C मानक पुस्तकालय
• मानक टेम्पलेट लाइब्रेरी (STL),
• glibc (GNU C लाइब्रेरी)
• क्यूटी
• MFC
• zlib
• libpng
• OpenSSL
• और इसी तरह

सभी फ़ंक्शन मैन्युअल रूप से एनोटेट किए गए हैं, जो आपको कई विशेषताओं को सेट करने की अनुमति देता है जो त्रुटियों को खोजने के मामले में महत्वपूर्ण हैं। उदाहरण के लिए, यह निर्दिष्ट किया जाता है कि फ़्रेड फ़ंक्शन को दिए गए बफर का आकार बाइट्स की संख्या से कम नहीं होना चाहिए जो फ़ाइल से पढ़ने की योजना बना रहे हैं। 2, 3 तर्कों और मान जो फ़ंक्शन वापस कर सकते हैं, के बीच संबंध भी इंगित किया गया है। यह सब इस तरह दिखता है:

इस एनोटेशन के लिए धन्यवाद, निम्न कोड, जो फ़्रेड फ़ंक्शन का उपयोग करता है, तुरंत दो त्रुटियों को प्रकट करेगा।

 void Foo(FILE *f) { char buf[100]; size_t i = fread(buf, sizeof(char), 1000, f); buf[i] = 1; .... } 

पीवीएस-स्टूडियो चेतावनी:

• V512 CWE-119 'फ्रेड' फ़ंक्शन के कॉल से बफर 'buf' का अतिप्रवाह होगा। test.cpp 116
• V557 CWE-787 ऐरे ओवररन संभव है। 'I' इंडेक्स का मान 1000 तक पहुंच सकता है। test.cpp 117

सबसे पहले, विश्लेषक ने 2 और 3 के वास्तविक तर्क को गुणा किया और गणना की कि फ़ंक्शन 1000 बाइट डेटा तक पढ़ सकता है। इस स्थिति में, बफ़र आकार केवल 100 बाइट्स है, और यह ओवरफ़्लो हो सकता है।

दूसरे, चूंकि फ़ंक्शन 1000 बाइट्स तक पढ़ सकता है, चर I के संभावित मानों की सीमा [0..1000] है। तदनुसार, सरणी तक पहुंच गलत सूचकांक पर हो सकती है।

आइए एक त्रुटि के एक और सरल उदाहरण को देखते हैं, जिसका पता लगाना, मेमसेट फ़ंक्शन के मार्कअप के लिए संभव बनाया गया था। यहाँ CryEngine V. प्रोजेक्ट का एक कोड स्निपेट है।

 void EnableFloatExceptions(....) { .... CONTEXT ctx; memset(&ctx, sizeof(ctx), 0); .... } 

PVS-Studio विश्लेषक ने एक टाइपो पाया: V575 'मेमसेट' फंक्शन प्रोसेस '0' एलिमेंट्स। तीसरे तर्क का निरीक्षण करें। crythreadutil_win32.h 294

समारोह के दूसरे और तीसरे तर्क को भ्रमित किया। नतीजतन, फ़ंक्शन 0 बाइट्स को संसाधित करता है और कुछ भी नहीं करता है। विश्लेषक इस विसंगति को नोटिस करता है और प्रोग्रामरों को इसके बारे में चेतावनी देता है। हमने पहले इस त्रुटि को " लंबे समय से प्रतीक्षित CryEngine V Validation " लेख में वर्णित किया था।

पीवीएस-स्टूडियो विश्लेषक केवल उन एनोटेशन तक सीमित नहीं है जिन्हें हम मैन्युअल रूप से सेट करते हैं। इसके अलावा, वह स्वतंत्र रूप से कार्यों के निकायों का अध्ययन करके एनोटेशन बनाने की कोशिश करता है। यह आपको कार्यों के अनुचित उपयोग की त्रुटियों को खोजने की अनुमति देता है। उदाहरण के लिए, विश्लेषक याद करता है कि एक फ़ंक्शन नल्ट्रिप्ट वापस कर सकता है। यदि इस फ़ंक्शन द्वारा लौटाए गए सूचक का उपयोग प्रारंभिक जाँच के बिना किया जाता है, तो विश्लेषक इस बारे में चेतावनी देगा। एक उदाहरण:

 int GlobalInt; int *Get() { return (rand() % 2) ? nullptr : &GlobalInt; } void Use() { *Get() = 1; } 

चेतावनी: V522 CWE-690 एक संभावित नल पॉइंटर 'गेट ()' की डीफ्रेंसिंग हो सकती है। test.cpp 129

नोट। आप विपरीत तरीके से जांच की गई त्रुटि की खोज कर सकते हैं। कुछ भी याद नहीं है, और हर बार जब फ़ंक्शन को कॉल करने का सामना करना पड़ता है, तो वास्तविक तर्कों को जानने का विश्लेषण करें। ऐसा एल्गोरिथ्म सैद्धांतिक रूप से आपको अधिक त्रुटियां खोजने की अनुमति देता है, लेकिन इसमें घातीय जटिलता है। कार्यक्रम विश्लेषण समय सैकड़ों-हजारों बार बढ़ता है, और हम इस दृष्टिकोण को व्यावहारिक दृष्टिकोण से एक मृत अंत मानते हैं। पीवीएस-स्टूडियो में, हम कार्यों के स्वचालित एनोटेशन की दिशा विकसित कर रहे हैं।

पैटर्न मिलान

पहली नज़र में, पैटर्न के साथ मेल खाते हुए तकनीक, नियमित अभिव्यक्ति के साथ एक खोज की तरह लग सकता है। वास्तव में, ऐसा नहीं है, और सब कुछ बहुत अधिक जटिल है।

सबसे पहले, जैसा कि मैंने पहले ही कहा था , नियमित अभिव्यक्ति आम तौर पर बेकार हैं। दूसरे, विश्लेषक टेक्स्ट लाइनों के साथ काम नहीं करते हैं, लेकिन सिंटैक्स पेड़ों के साथ, जो किसी को अधिक जटिल और उच्च-स्तरीय त्रुटि पैटर्न को पहचानने की अनुमति देता है।

दो उदाहरणों पर विचार करें, एक सरल और एक अधिक जटिल। पहली त्रुटि मुझे एंड्रॉइड के लिए स्रोत कोड की जांच करते समय मिली।

 void TagMonitor::parseTagsToMonitor(String8 tagNames) { std::lock_guard<std::mutex> lock(mMonitorMutex); if (ssize_t idx = tagNames.find("3a") != -1) { ssize_t end = tagNames.find(",", idx); char* start = tagNames.lockBuffer(tagNames.size()); start[idx] = '\0'; .... } .... } 

PVS- स्टूडियो विश्लेषक सी ++ में संचालन की प्राथमिकता के बारे में प्रोग्रामर की गलत धारणा से जुड़ी क्लासिक त्रुटि पैटर्न को पहचानता है: V593 / CWE-783 'ए = बी! = सी' प्रकार की अभिव्यक्ति की समीक्षा करने पर विचार करें। अभिव्यक्ति की गणना निम्न प्रकार से की जाती है: 'ए = (बी! = सी)'। TagMonitor.cpp 50

इस लाइन पर करीब से नज़र डालें:

 if (ssize_t idx = tagNames.find("3a") != -1) { 

प्रोग्रामर मानता है कि शुरुआत में एक असाइनमेंट किया जाता है, और उसके बाद ही -1 के साथ तुलना की जाती है। वास्तव में, तुलना पहले आती है। क्लासिक। यह त्रुटि एंड्रॉइड सत्यापन के लिए समर्पित लेख में अधिक विवरण में वर्णित है ("अन्य त्रुटियां" अध्याय देखें)।

अब एक उच्च-स्तरीय पैटर्न मिलान विकल्प पर विचार करें।

 static inline void sha1ProcessChunk(....) { .... quint8 chunkBuffer[64]; .... #ifdef SHA1_WIPE_VARIABLES .... memset(chunkBuffer, 0, 64); #endif } 

PVS-Studio चेतावनी: V597 CWE-14 संकलक 'मेमसेट' फ़ंक्शन कॉल को हटा सकता है, जिसका उपयोग 'chunkBuffer' बफर को फ्लश करने के लिए किया जाता है। निजी डेटा को मिटाने के लिए RtlSecureZeroMemory () फ़ंक्शन का उपयोग किया जाना चाहिए। sha1.cpp 189

समस्या का सार यह है कि मेमसेट फ़ंक्शन का उपयोग करके शून्य के साथ एक बफर भरने के बाद, इस बफर का कहीं भी उपयोग नहीं किया जाता है। अनुकूलन झंडे के साथ कोड संकलित करते समय, कंपाइलर तय करेगा कि यह फ़ंक्शन कॉल निरर्थक है और इसे हटा देगा। उसे इस बात का अधिकार है, क्योंकि C ++ भाषा के दृष्टिकोण से, किसी फ़ंक्शन को कॉल करने से प्रोग्राम पर कोई अवलोकन योग्य व्यवहार नहीं होता है। ChunkBuffer बफर में भरने के तुरंत बाद, sha1ProcessChunk फ़ंक्शन समाप्त होता है। चूंकि बफर स्टैक पर बनाया गया है, फ़ंक्शन से बाहर निकलने के बाद, यह उपयोग के लिए अनुपलब्ध हो जाएगा। इसलिए, संकलक के दृष्टिकोण से, इसे शून्य से भरने का कोई मतलब नहीं है।

नतीजतन, स्टैक पर कहीं न कहीं निजी डेटा रहेगा, जिससे परेशानी हो सकती है। इस विषय पर " निजी डेटा की सुरक्षित सफाई " लेख में अधिक विस्तार से चर्चा की गई है।

यह उच्च स्तरीय पैटर्न मिलान का एक उदाहरण है। सबसे पहले, विश्लेषक को इस सुरक्षा दोष के अस्तित्व के बारे में पता होना चाहिए, सीडब्ल्यूई -14 के रूप में सामान्य कमजोरी गणना के अनुसार वर्गीकृत किया गया : कोड को हटाने के लिए क्लीयर बफ़र्स को संकलक ।

दूसरे, इसे कोड में उन सभी स्थानों पर खोजना होगा जहां स्टैक पर बफर बनाया गया है, इसे मेमसेट फ़ंक्शन का उपयोग करके मिटा दिया जाता है और कहीं और उपयोग नहीं किया जाता है।

निष्कर्ष

जैसा कि आप देख सकते हैं, स्थैतिक विश्लेषण एक बहुत ही रोचक और उपयोगी पद्धति है। यह आपको शुरुआती चरणों में बड़ी संख्या में त्रुटियों और संभावित कमजोरियों को खत्म करने की अनुमति देता है ( SAST देखें)। यदि आप अभी भी स्थैतिक विश्लेषण से पूरी तरह से प्रभावित नहीं हैं, तो मैं आपको हमारे ब्लॉग को पढ़ने के लिए आमंत्रित करता हूं, जहां हम नियमित रूप से विभिन्न परियोजनाओं में पीवीएस-स्टूडियो का उपयोग करके पाई गई त्रुटियों का विश्लेषण करते हैं। आप बस उदासीन नहीं रह सकते।

हमें अपने ग्राहकों के बीच आपकी कंपनी को देखकर खुशी होगी और आपके अनुप्रयोगों को बेहतर, अधिक विश्वसनीय और अधिक सुरक्षित बनाने में मदद मिलेगी।

यदि आप इस लेख को अंग्रेजी बोलने वाले दर्शकों के साथ साझा करना चाहते हैं, तो कृपया अनुवाद के लिंक का उपयोग करें: एंड्रे कारपोव। पीवीएस-स्टूडियो कोड विश्लेषक में बग और संभावित कमजोरियों को खोजने के लिए उपयोग की जाने वाली तकनीकें ।