静的アナライザーを使用したValgrind Dynamic Analyzerコードの確認

静的分析が動的分析よりも優れていることを示すために、この記事はまったく書かれていないとすぐに言わなければなりません。 そのような声明は虚偽であり、逆も同様です。 静的および動的分析ツールは相互に補完し合うものであり、互いに競合することはありません。 それらとそれらには長所と短所があります。 動的アナライザーでは検出できないエラーもあれば、静的エラーを検出できないものもあります。 したがって、この記事は、2つの方法論の比較としてではなく、PVS-Studioの機能の別のデモとしてのみ扱う必要があります。

動的および静的コード分析の方法論

プログラムのソースコードには、エラーの特定に役立つヒントが含まれています。 簡単な例を考えてみましょう。

char *str = foo(); if (str == '\0') 

ポインターをnullptr 、 NULL、または少なくとも0 、つまり文字リテラル'\ 0'と比較しないのは奇妙です。 この奇妙なことに基づいて、静的コードアナライザーは、ポインターが0であるのではなく、文字列が空であることを本当に確認したいと考えている可能性があります。 つまり 行の先頭に終端ゼロがあることを確認したかったのですが、誤ってポインターを逆参照するのを忘れていました。 ほとんどの場合、これは本当に間違いであり、正しいコードは次のようになります。

 char *str = foo(); if (*str == '\0') 

コンパイル中に、そのような情報は失われ、動的アナライザーはこのエラーを検出できません。 動的アナライザーの観点からは、ポインターのNULLがチェックされます 。心配する必要はありません。

動的アナライザーのもう1つの弱点は、エラーを含むコードを実行する必要があることです。 また、コードの多くのセクションでは、これを行うのは非常に困難です。 実際のアプリケーションから取得したコードの例を使用して説明します。

 ADOConnection* piTmpConnection = NULL; hr = CoCreateInstance( CLSID_DataLinks, NULL, CLSCTX_INPROC_SERVER, IID_IDataSourceLocator, (void**)&dlPrompt ); if( FAILED( hr ) ) { piTmpConnection->Release(); dlPrompt->Release( ); return connstr; } 

CoCreateInstance関数が失敗した場合、 piTmpConnection nullポインターは逆参照されます。 実際、 piTmpConnection-> Release（）という行があります。 接続がまだ作成されていないため、単に不要です。

CoCreateInstance関数がエラーステータスを返す場合、状況をエミュレートする必要があるため、動的アナライザーを使用してこのような状況を識別することは問題です。 これは簡単ではありません。

純粋に理論的には、静的アナライザーはコードに関する情報を持っているため、動的アナライザーよりも多くのエラーを検出できます。 実際には、静的アナライザーの機能は、使用可能なメモリーの量と許容可能なランタイムによって制限されます。 つまり、静的アナライザーは、考えられるすべての入力データでコードがどのように機能するかを考慮することができます。 しかし、彼はクラスターで150年間、さらに膨大な量のメモリがインストールされます。

その結果、実際には、静的アナライザーは多くのタイプのエラーを検出できません。 たとえば、多くの関数間でポインターが渡される場合、リークに気付かない。 動的アナライザーは、コードの複雑さに関係なく、そのようなタスクの優れた仕事をします。

検証結果

静的コード分析の方法論を普及させるために、さまざまなプロジェクトを定期的にチェックしていますが、Valgrindのようなプロジェクトを渡すことはできませんでした。 間違いを見つけることは一種の挑戦です。 これは高品質のテスト済みプロジェクトであり、Coverityアナライザーによってもチェックされます。 とにかく、このコードはさまざまなツールを使用する愛好家によってテストされたと確信しています。 そのため、いくつかの間違いを見つけることでさえ、大成功です。

PVS-StudioアナライザーがValgrindプロジェクトコードで見つけたものを見てみましょう。

 static void lk_fini(Int exitcode) { .... VG_(umsg)(" taken: %'llu (%.0f%%)\n", taken_Jccs, taken_Jccs * 100.0 / total_Jccs ?: 1); .... } 

警告PVS-Studio：V502「？：」演算子は、予想とは異なる方法で動作する可能性があります。 「？：」演算子の優先順位は、「/」演算子よりも低くなっています。 lk_main.c 1014

オペレーター？：非常に陰湿であり、非常に慎重に使用する必要があります。 このトピックについては、 小さな本の第4章で詳しく説明しました。 このコードが疑わしい理由を考えてみましょう。

プログラマーはゼロ除算から身を守りたいと思ったようです。 したがって、変数total_Jccsが0に等しい場合、 除算は1で実行する必要があります。 コードは次のように機能することが計画されていました。

 taken_Jccs * 100.0 / (total_Jccs ?: 1) 

ただし、？：演算子の優先順位は、乗算および除算演算子の優先順位よりも低くなっています。 したがって、式は次のように評価されます。

 (taken_Jccs * 100.0 / total_Jccs) ?: 1 

ただし、おそらくコードは意図したとおりに機能します。 とにかく、これが当てはまる場合は、括弧を追加して、他のプログラマーが将来エラーがあるかどうか疑問に思わないようにすることをお勧めします。

 static Bool doHelperCall (....) { .... UInt nVECRETs = 0; .... vassert(nVECRETs == (retTy == Ity_V128 || retTy == Ity_V256) ? 1 : 0); .... } 

警告PVS-Studio：V502「？：」演算子は、予想とは異なる方法で動作する可能性があります。 「？：」演算子の優先順位は、「==」演算子よりも低くなっています。 host_arm_isel.c 795

興味深いケース。 The ?:演算子は誤って使用されていますが、コードは正しいです。

チェックは次のように機能するはずだと考えられていました。

 nVECRETs == ((retTy == Ity_V128 || retTy == Ity_V256) ? 1 : 0) 

ただし、次のように機能します。

 (nVECRETs == (retTy == Ity_V128 || retTy == Ity_V256)) ? 1 : 0 

おもしろいことに、よく見ると、これらのチェックが同等であることがわかります。 結果は同じになります。

同様のチェックはこちらです：

• V502おそらく、「?:」演算子は予想とは異なる方法で動作します。 「？：」演算子の優先順位は、「==」演算子よりも低くなっています。 host_arm64_isel.c 737
• V502おそらく、「?:」演算子は予想とは異なる方法で動作します。 「？：」演算子の優先順位は、「==」演算子よりも低くなっています。 host_mips_isel.c 611

 typedef ULong DiOffT; typedef struct { Bool fromC; DiOffT off; SizeT size; SizeT used; UChar data[]; } CEnt; static Bool is_sane_CEnt (....) { .... CEnt* ce = img->ces[i]; .... if (!(ce->size == CACHE_ENTRY_SIZE)) goto fail; if (!(ce->off >= 0)) goto fail; // <= if (!(ce->off + ce->used <= img->real_size)) goto fail; .... } 

PVS-Studio警告：V547式 'ce-> off> = 0'は常にtrueです。 符号なしの型の値は常に> = 0です。image.c 147

offメンバーは符号なしの型の変数です。つまり、常にゼロ以上です。 したがって、条件（！（Ce-> off> = 0））は常にfalseです。

 static void sdel_Counts ( Counts* cts ) { memset(cts, 0, sizeof(Counts)); free(cts); } 

PVS-Studio警告：V597コンパイラーは、 'cts'オブジェクトのフラッシュに使用される 'memset'関数呼び出しを削除できました。 プライベートデータを消去するには、memset_s（）関数を使用する必要があります。 cg_merge.c 324

どうやら、Valgrind自体のエラーの検索を簡素化するために、メモリは解放される前にゼロで埋められます。 ただし、リリースバージョンでは、コンパイラはmemset関数呼び出しを削除する可能性があります。これは、 free関数が呼び出されるまでバッファーが使用されなくなるためです。

メモリがリセットされない可能性がある同様の場所：

• V597コンパイラーは、「ffn」オブジェクトのフラッシュに使用される「memset」関数呼び出しを削除できました。 プライベートデータを消去するには、memset_s（）関数を使用する必要があります。 cg_merge.c 263
• V597コンパイラーは、「cts」オブジェクトのフラッシュに使用される「memset」関数呼び出しを削除できました。 プライベートデータを消去するには、memset_s（）関数を使用する必要があります。 cg_merge.c 332
• V597コンパイラーは、「cpf」オブジェクトのフラッシュに使用される「memset」関数呼び出しを削除できました。 プライベートデータを消去するには、memset_s（）関数を使用する必要があります。 cg_merge.c 394

 static Bool dis_AdvSIMD_scalar_shift_by_imm(DisResult* dres, UInt insn) { .... ULong nmask = (ULong)(((Long)0x8000000000000000ULL) >> (sh-1)); .... } 

PVS-Studio警告：V610不特定の動作。 シフト演算子「>>」を確認してください。 左のオペランド '（（Long）0x8000000000000000ULL）'は負です。 guest_arm64_toIR.c 9428

右にシフトされたオペランドの値が負の場合、結果の値は実装に依存します（実装定義）。 したがって、私たちは危険なコードを扱っています。

ここで、 NULLがチェックされる前にポインターの逆参照が行われる状況を考えます 。

 PRE(xsm_op) { struct vki_xen_flask_op *op = (struct vki_xen_flask_op *)ARG1; PRINT("__HYPERVISOR_xsm_op ( %u )", op->cmd); // <= PRE_MEM_READ("__HYPERVISOR_xsm_op", ARG1, sizeof(vki_uint32_t) + sizeof(vki_uint32_t)); if (!op) // <= return; .... } 

PVS-Studio警告：V595 nullptrに対して検証される前に、「op」ポインターが使用されました。 行を確認してください：350、360。syswrap-xen.c 350

同様のケース：

• V595 nullsysrに対して検証される前に、「sysctl」ポインターが使用されました。 行を確認してください：568、578。syswrap-xen.c 568
• V595 nullptrに対して検証される前に、「domctl」ポインターが使用されました。 行を確認してください：710、722。syswrap-xen.c 710

 Bool ML_(read_elf_debug_info) ( struct _DebugInfo* di ) { .... if (inrw && sdynbss_present) { vg_assert(di->sbss_present); sdynbss_present = False; vg_assert(di->sbss_svma + di->sbss_size == svma); di->sbss_size += size; .... } else // <= if (inrw && !di->sbss_present) { di->sbss_present = True; di->sbss_svma = svma; di->sbss_avma = svma + inrw->bias; .... } 

PVS-Studio警告：V705「else」ブロックが忘れられているかコメントアウトされている可能性があり、そのためプログラムの操作ロジックが変更されています。 readelf.c 2231

elseキーワードは、このコードでは非常に疑わしく見えます。 コードは、その作業のロジックに従って調整されていません。 さらに、 else行の後に空の行が続きます。 これは、失敗したコードのリファクタリングの結果に直面していると仮定し、 それ以外は不要です。

 static Bool doHelperCallWithArgsOnStack (....) { .... if (guard) { if (guard->tag == Iex_Const && guard->Iex.Const.con->tag == Ico_U1 && guard->Iex.Const.con->Ico.U1 == True) { /* unconditional -- do nothing */ } else { goto no_match; //ATC cc = iselCondCode( env, guard ); } } .... } 

PVS-Studio警告：V779到達不能コードが検出されました。 エラーが存在する可能性があります。 host_arm_isel.c 461

コードの行：

 cc = iselCondCode( env, guard ); 

実行されなかった：

 void reset_valgrind_sink(const char *info) { if (VG_(log_output_sink).fd != initial_valgrind_sink.fd && initial_valgrind_sink_saved) { VG_(log_output_sink).fd = initial_valgrind_sink.fd; VG_(umsg) ("Reset valgrind output to log (%s)\n", (info = NULL ? "" : info)); } } 

PVS-Studio警告：V547式 '（（void *）0）'は常にfalseです。 server.c 110

アナライザーの警告は奇妙に見え、説明が必要です。

次の式に興味があります。

 (info = NULL ? "" : info)) 

NULLマクロは（（void *）0）に展開され 、次のようになります。

 (info = ((void *) 0) ? "" : info)) 

？：演算子の優先度は=演算子の優先度よりも高いため、計算は次のようになります。

 (info = (((void *) 0) ? "" : info))) 

？：演算子の条件（（void *）0）が奇妙に見えることに同意します。これはPVS-Studioアナライザーが警告するものです。 どうやら、私たちはタイプミスを扱っており、コードは次のようになっているはずです。

 (info == NULL ? "" : info)) 

そして今日の最後のコード：

 void genReload_TILEGX ( /*OUT*/ HInstr ** i1, /*OUT*/ HInstr ** i2, HReg rreg, Int offsetB ) { TILEGXAMode *am; vassert(!hregIsVirtual(rreg)); am = TILEGXAMode_IR(offsetB, TILEGXGuestStatePointer()); switch (hregClass(rreg)) { case HRcInt64: *i1 = TILEGXInstr_Load(8, rreg, am); break; case HRcInt32: *i1 = TILEGXInstr_Load(4, rreg, am); break; default: ppHRegClass(hregClass(rreg)); vpanic("genReload_TILEGX: unimplemented regclass"); break; } } 

PVS-Studio警告：V751パラメーター「i2」は関数本体内では使用されません。 host_tilegx_defs.c 1223

ここでは、他の同様の関数で行われたように、 i2でNULLを書き込むのを忘れていたと思います。

 *i1 = *i2 = NULL; 

同様のエラーはこちらです：

V751パラメーター 'i2'は関数本体内では使用されません。 host_mips_defs.c 2000

おわりに

ご清聴ありがとうございました。 Linux用のPVS-Studio静的コードアナライザーをお試しください。

• ダウンロード： PVS-Studio for Linux
• 一時的なライセンスキーを取得します。
• 手順： LinuxでPVS-Studioを実行する方法 。

Windows開発者、私はここに招待します： PVS-Studio for Windows 。 彼らにとって-すべてが少し簡単です。 Visual Studioのプラグインをインストールし、デモバージョンでC、C ++、C＃プロジェクトを確認するだけです。


この記事を英語圏の聴衆と共有したい場合は、翻訳へのリンクを使用してください：Andrey Karpov。 静的アナライザーによるValgrind動的アナライザーのコードの確認