PVS-Studio ახლა Chocolatey-შია: ამოწმებთ Chocolatey-ს Azure DevOps-დან

ჩვენ ვაგრძელებთ PVS-Studio-ს გამოყენებას უფრო მოსახერხებელი. ჩვენი ანალიზატორი ახლა ხელმისაწვდომია Chocolatey-ში, Windows-ის პაკეტის მენეჯერად. ჩვენ გვჯერა, რომ ეს ხელს შეუწყობს PVS-Studio-ს განთავსებას, კერძოდ ღრუბლოვან სერვისებში. შორს რომ არ წავიდეთ, გადავამოწმოთ იგივე Chocolatey-ის წყაროს კოდი. Azure DevOps იმოქმედებს როგორც CI სისტემა.

აქ არის ჩვენი სხვა სტატიების სია ღრუბლოვან სისტემებთან ინტეგრაციის თემაზე:

• PVS-Studio მიდის ღრუბლებში: Azure DevOps
• PVS-Studio მიდის ღრუბლებში: Travis CI
• PVS-Studio მიდის ღრუბლებში: CircleCI
• PVS-Studio მიდის ღრუბლებში: GitLab CI/CD

გირჩევთ, ყურადღება მიაქციოთ პირველ სტატიას Azure DevOps-თან ინტეგრაციის შესახებ, რადგან ამ შემთხვევაში ზოგიერთი პუნქტი გამოტოვებულია, რათა არ მოხდეს დუბლირება.

ასე რომ, ამ სტატიის გმირები:

PVS- სტუდია არის სტატიკური კოდის ანალიზის ინსტრუმენტი, რომელიც შექმნილია შეცდომების და პოტენციური დაუცველობის იდენტიფიცირებისთვის C, C++, C# და Java-ში დაწერილ პროგრამებში. მუშაობს 64-ბიტიან Windows, Linux და macOS სისტემებზე და შეუძლია გააანალიზოს კოდი, რომელიც შექმნილია 32-ბიტიანი, 64-ბიტიანი და ჩაშენებული ARM პლატფორმებისთვის. თუ პირველად ცდილობთ სტატიკური კოდის ანალიზს თქვენი პროექტების შესამოწმებლად, გირჩევთ გაეცნოთ სტატია იმის შესახებ, თუ როგორ სწრაფად ნახოთ ყველაზე საინტერესო PVS-Studio გაფრთხილებები და შეაფასოთ ამ ხელსაწყოს შესაძლებლობები.

Azure DevOps — ღრუბლოვანი სერვისების ნაკრები, რომელიც ერთობლივად მოიცავს განვითარების მთელ პროცესს. ეს პლატფორმა მოიცავს ისეთ ინსტრუმენტებს, როგორიცაა Azure Pipelines, Azure Boards, Azure Artifacts, Azure Repos, Azure Test Plans, რომლებიც საშუალებას გაძლევთ დააჩქაროთ პროგრამული უზრუნველყოფის შექმნის პროცესი და გააუმჯობესოთ მისი ხარისხი.

შოკოლადი არის ღია კოდის პაკეტის მენეჯერი Windows-ისთვის. პროექტის მიზანია პროგრამული უზრუნველყოფის მთელი ციკლის ავტომატიზაცია ინსტალაციისგან განახლებამდე და Windows ოპერაციულ სისტემებზე დეინსტალაციამდე.

შოკოლადის გამოყენების შესახებ

თქვენ შეგიძლიათ ნახოთ, როგორ დააინსტალიროთ თავად პაკეტის მენეჯერი ლინკები. ანალიზატორის დაყენების სრული დოკუმენტაცია ხელმისაწვდომია მისამართზე ლინკები იხილეთ ინსტალაცია Chocolatey პაკეტის მენეჯერის განყოფილების გამოყენებით. მოკლედ გავიმეორებ რამდენიმე პუნქტს იქიდან.

ბრძანება ანალიზატორის უახლესი ვერსიის დასაყენებლად:

choco install pvs-studio

PVS-Studio პაკეტის კონკრეტული ვერსიის ინსტალაციის ბრძანება:

choco install pvs-studio --version=7.05.35617.2075

ნაგულისხმევად, დამონტაჟებულია მხოლოდ ანალიზატორის ბირთვი, Core კომპონენტი. ყველა სხვა დროშა (Standalone, JavaCore, IDEA, MSVS2010, MSVS2012, MSVS2013, MSVS2015, MSVS2017, MSVS2019) შეიძლება გადაეცეს --package-პარამეტრების გამოყენებით.

ბრძანების მაგალითი, რომელიც დააინსტალირებს ანალიზატორს მოდული Visual Studio 2019-ისთვის:

choco install pvs-studio --package-parameters="'/MSVS2019'"

ახლა მოდით შევხედოთ ანალიზატორის მოსახერხებელი გამოყენების მაგალითს Azure DevOps-ში.

რეგულირება

შეგახსენებთ, რომ არის ცალკე განყოფილება ისეთ საკითხებზე, როგორიცაა ანგარიშის რეგისტრაცია, Build Pipeline-ის შექმნა და თქვენი ანგარიშის სინქრონიზაცია GitHub საცავში მდებარე პროექტთან. სტატიის. ჩვენი დაყენება დაუყოვნებლივ დაიწყება კონფიგურაციის ფაილის დაწერით.

პირველ რიგში, მოდით დავაყენოთ გაშვების ტრიგერი, რომელიც მიუთითებს, რომ ჩვენ გაშვება მხოლოდ ცვლილებებისთვის სამაგისტრო ფილიალი:

trigger:
- master

შემდეგ ჩვენ უნდა ავირჩიოთ ვირტუალური მანქანა. ამ დროისთვის ის იქნება Microsoft-ის მასპინძელი აგენტი Windows Server 2019 და Visual Studio 2019:

pool:
  vmImage: 'windows-latest'

მოდით გადავიდეთ კონფიგურაციის ფაილის სხეულზე (ბლოკი ნაბიჯები). იმისდა მიუხედავად, რომ თქვენ არ შეგიძლიათ დააინსტალიროთ თვითნებური პროგრამა ვირტუალურ მანქანაში, მე არ დავამატე Docker კონტეინერი. ჩვენ შეგვიძლია დავამატოთ Chocolatey, როგორც გაფართოება Azure DevOps-ისთვის. ამისათვის მოდით წავიდეთ ლინკები. დააწკაპუნეთ Აიღე უფასოდ. შემდეგი, თუ უკვე ავტორიზებული ხართ, უბრალოდ აირჩიეთ თქვენი ანგარიში და თუ არა, მაშინ იგივე გააკეთეთ ავტორიზაციის შემდეგ.

აქ თქვენ უნდა აირჩიოთ სად დავამატებთ გაფართოებას და დააჭირეთ ღილაკს ინსტალაცია.

წარმატებული ინსტალაციის შემდეგ დააჭირეთ გადადით ორგანიზაციაში:

ახლა შეგიძლიათ იხილოთ შოკოლადის დავალების შაბლონი ფანჯარაში ამოცანები კონფიგურაციის ფაილის რედაქტირებისას azure-pipelines.yml:

დააწკაპუნეთ Chocolatey-ზე და ნახეთ ველების სია:

აქ უნდა ავირჩიოთ ინსტალაცია მოედანზე გუნდებთან ერთად. IN Nuspec ფაილის სახელი მიუთითეთ საჭირო პაკეტის დასახელება – pvs-studio. თუ ვერსიას არ დააკონკრეტებთ, დაინსტალირდება უახლესი, რომელიც სრულად გვერგება. დავაჭიროთ ღილაკს დავამატებთ და ჩვენ ვნახავთ გენერირებულ ამოცანას კონფიგურაციის ფაილში.

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

შემდეგი, მოდით გადავიდეთ ჩვენი ფაილის მთავარ ნაწილზე:

- task: CmdLine@2
  inputs:
    script: 

ახლა ჩვენ უნდა შევქმნათ ფაილი ანალიზატორის ლიცენზიით. Აქ PVSNAME и PVSKEY - ცვლადების სახელები, რომელთა მნიშვნელობებს ჩვენ ვაზუსტებთ პარამეტრებში. ისინი შეინახავენ PVS-Studio-ს შესვლისა და ლიცენზიის გასაღებს. მათი მნიშვნელობების დასაყენებლად გახსენით მენიუ ცვლადები->ახალი ცვლადი. მოდით შევქმნათ ცვლადები PVSNAME შესვლისთვის და PVSKEY ანალიზატორის გასაღებისთვის. არ დაგავიწყდეთ ყუთის შემოწმება შეინახეთ ეს მნიშვნელობა საიდუმლოდ ამისთვის PVSKEY. ბრძანების კოდი:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" credentials 
–u $(PVSNAME) –n $(PVSKEY)

მოდით ავაშენოთ პროექტი საცავში მდებარე bat ფაილის გამოყენებით:

сall build.bat

მოდით შევქმნათ საქაღალდე, სადაც შეინახება ფაილები ანალიზატორის შედეგებით:

сall mkdir PVSTestResults

დავიწყოთ პროექტის ანალიზი:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
–t .srcchocolatey.sln –o .PVSTestResultsChoco.plog 

ჩვენ გადავიყვანთ ჩვენს ანგარიშს html ფორმატში PlogСonverter პროგრამის გამოყენებით:

сall "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
–t html –o PVSTestResults .PVSTestResultsChoco.plog

ახლა თქვენ უნდა შექმნათ დავალება, რათა შეძლოთ ანგარიშის ატვირთვა.

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

სრული კონფიგურაციის ფაილი ასე გამოიყურება:

trigger:
- master

pool:
  vmImage: 'windows-latest'

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

- task: CmdLine@2
  inputs:
    script: |
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      credentials –u $(PVSNAME) –n $(PVSKEY)
      call build.bat
      call mkdir PVSTestResults
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      –t .srcchocolatey.sln –o .PVSTestResultsChoco.plog
      call "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
      –t html –o .PVSTestResults .PVSTestResultsChoco.plog

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

მოდით დავაჭიროთ შენახვა-> შენახვა-> გაშვება დავალების შესასრულებლად. გადმოვწეროთ ანგარიში ამოცანების ჩანართზე გადასვლით.

Chocolatey პროექტი შეიცავს C# კოდის მხოლოდ 37615 ხაზს. მოდით შევხედოთ აღმოჩენილ შეცდომებს.

Ტესტის პასუხები

გაფრთხილება N1

ანალიზატორის გაფრთხილება: V3005 "პროვაიდერი" ცვლადი ენიჭება თავის თავს. CrytpoHashProviderSpecs.cs 38

public abstract class CrytpoHashProviderSpecsBase : TinySpec
{
  ....
  protected CryptoHashProvider Provider;
  ....
  public override void Context()
  {
    Provider = Provider = new CryptoHashProvider(FileSystem.Object);
  }
}

ანალიზატორმა აღმოაჩინა ცვლადის მინიჭება თავისთვის, რასაც აზრი არ აქვს. სავარაუდოდ, ერთ-ერთი ამ ცვლადის ნაცვლად სხვა უნდა იყოს. კარგად, ან ეს შეცდომაა და დამატებითი დავალება შეიძლება უბრალოდ მოიხსნას.

გაფრთხილება N2

ანალიზატორის გაფრთხილება: V3093 [CWE-480] '&' ოპერატორი აფასებს ორივე ოპერანდს. შესაძლოა მოკლე ჩართვის "&&" ოპერატორის ნაცვლად იყოს გამოყენებული. პლატფორმა.cs 64

public static PlatformType get_platform()
{
  switch (Environment.OSVersion.Platform)
  {
    case PlatformID.MacOSX:
    {
      ....
    }
    case PlatformID.Unix:
    if(file_system.directory_exists("/Applications")
      & file_system.directory_exists("/System")
      & file_system.directory_exists("/Users")
      & file_system.directory_exists("/Volumes"))
      {
        return PlatformType.Mac;
      }
        else
          return PlatformType.Linux;
    default:
      return PlatformType.Windows;
  }
}

ოპერატორის განსხვავება & ოპერატორისგან && არის ის, რომ თუ გამოხატვის მარცხენა მხარეა ყალბი, მაშინ მაინც გამოითვლება მარჯვენა მხარე, რაც ამ შემთხვევაში გულისხმობს მეთოდის არასაჭირო ზარებს system.directory_არსებობს.

განხილულ ფრაგმენტში ეს უმნიშვნელო ხარვეზია. დიახ, ამ მდგომარეობის ოპტიმიზაცია შესაძლებელია & ოპერატორის && ოპერატორით ჩანაცვლებით, მაგრამ პრაქტიკული თვალსაზრისით ეს არაფერზე არ მოქმედებს. თუმცა, სხვა შემთხვევებში, დაბნეულობამ & და &&-ს შორის შეიძლება გამოიწვიოს სერიოზული პრობლემები, როდესაც გამოხატვის მარჯვენა მხარე განიხილება არასწორი/არასწორი მნიშვნელობებით. მაგალითად, ჩვენს შეცდომების კოლექციაში, იდენტიფიცირებულია V3093 დიაგნოსტიკის გამოყენებით, არის ეს შემთხვევა:

if ((k < nct) & (s[k] != 0.0))

თუნდაც ინდექსი k არასწორია, ის გამოყენებული იქნება მასივის ელემენტზე წვდომისთვის. შედეგად, გამონაკლისი იქნება დაშვებული IndexOutOfRangeException.

გაფრთხილებები N3, N4

ანალიზატორის გაფრთხილება: V3022 [CWE-571] გამოთქმა 'shortPrompt' ყოველთვის მართალია. InteractivePrompt.cs 101
ანალიზატორის გაფრთხილება: V3022 [CWE-571] გამოთქმა 'shortPrompt' ყოველთვის მართალია. InteractivePrompt.cs 105

public static string 
prompt_for_confirmation(.... bool shortPrompt = false, ....)
{
  ....
  if (shortPrompt)
  {
    var choicePrompt = choice.is_equal_to(defaultChoice) //1
    ?
    shortPrompt //2
    ?
    "[[{0}]{1}]".format_with(choice.Substring(0, 1).ToUpperInvariant(), //3
    choice.Substring(1,choice.Length - 1))
    :
    "[{0}]".format_with(choice.ToUpperInvariant()) //0
    : 
    shortPrompt //4
    ? 
    "[{0}]{1}".format_with(choice.Substring(0,1).ToUpperInvariant(), //5
    choice.Substring(1,choice.Length - 1)) 
    :
    choice; //0
    ....
  }
  ....
}

ამ შემთხვევაში, სამეული ოპერატორის მოქმედების უკან უცნაური ლოგიკაა. მოდით უფრო ახლოს მივხედოთ: თუ მე 1-ით მონიშნული პირობა დაკმაყოფილებულია, მაშინ გადავალთ მე-2 პირობაზე, რომელიც ყოველთვის არის მართალია, რაც ნიშნავს, რომ სტრიქონი 3 შესრულდება. თუ 1 პირობა მცდარი აღმოჩნდება, მაშინ გადავალთ 4 ნომრით მონიშნულ ხაზზე, რომელიც ასევე ყოველთვის არის მართალია, რაც ნიშნავს, რომ შესრულდება სტრიქონი 5. ამრიგად, 0 კომენტარით მონიშნული პირობები არასოდეს შესრულდება, რაც შეიძლება ზუსტად არ იყოს ოპერაციის ლოგიკა, რასაც პროგრამისტი ელოდა.

გაფრთხილება N5

ანალიზატორის გაფრთხილება: V3123 [CWE-783] შესაძლოა '?:' ოპერატორი მუშაობს სხვანაირად, ვიდრე მოსალოდნელი იყო. მისი პრიორიტეტი უფრო დაბალია, ვიდრე სხვა ოპერატორების პრიორიტეტი მის მდგომარეობაში. Options.cs 1019

private static string GetArgumentName (...., string description)
{
  string[] nameStart;
  if (maxIndex == 1)
  {
    nameStart = new string[]{"{0:", "{"};
  }
  else
  {
    nameStart = new string[]{"{" + index + ":"};
  }
  for (int i = 0; i < nameStart.Length; ++i) 
  {
    int start, j = 0;
    do 
    {
      start = description.IndexOf (nameStart [i], j);
    } 
    while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false);
    ....
    return maxIndex == 1 ? "VALUE" : "VALUE" + (index + 1);
  }
}

დიაგნოსტიკა მუშაობდა ხაზისთვის:

while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false)

ვინაიდან ცვლადი j რამდენიმე სტრიქონის ზემოთ არის ინიციალიზებული ნულამდე, სამეული ოპერატორი დააბრუნებს მნიშვნელობას ყალბი. ამ მდგომარეობის გამო, მარყუჟის სხეული შესრულდება მხოლოდ ერთხელ. მეჩვენება, რომ კოდის ეს ნაწილი საერთოდ არ მუშაობს ისე, როგორც პროგრამისტს აპირებდა.

გაფრთხილება N6

ანალიზატორის გაფრთხილება: V3022 [CWE-571] გამოთქმა 'installedPackageVersions.Count != 1' ყოველთვის მართალია. NugetService.cs 1405

private void remove_nuget_cache_for_package(....)
{
  if (!config.AllVersions && installedPackageVersions.Count > 1)
  {
    const string allVersionsChoice = "All versions";
    if (installedPackageVersions.Count != 1)
    {
      choices.Add(allVersionsChoice);
    }
    ....
  }
  ....
}

აქ არის უცნაური ჩადგმული მდგომარეობა: installedPackageVersions.Count != 1რომელიც ყოველთვის იქნება მართალია. ხშირად ასეთი გაფრთხილება მიუთითებს კოდში ლოგიკურ შეცდომაზე, სხვა შემთხვევაში კი უბრალოდ ზედმეტ შემოწმებაზე მიუთითებს.

გაფრთხილება N7

ანალიზატორის გაფრთხილება: V3001 არის იდენტური ქვეგამოთქმები 'commandArguments.contains("-apikey")' მარცხნივ და მარჯვნივ '||'-დან. ოპერატორი. ArgumentsUtility.cs 42

public static bool arguments_contain_sensitive_information(string
 commandArguments)
{
  return commandArguments.contains("-install-arguments-sensitive")
  || commandArguments.contains("-package-parameters-sensitive")
  || commandArguments.contains("apikey ")
  || commandArguments.contains("config ")
  || commandArguments.contains("push ")
  || commandArguments.contains("-p ")
  || commandArguments.contains("-p=")
  || commandArguments.contains("-password")
  || commandArguments.contains("-cp ")
  || commandArguments.contains("-cp=")
  || commandArguments.contains("-certpassword")
  || commandArguments.contains("-k ")
  || commandArguments.contains("-k=")
  || commandArguments.contains("-key ")
  || commandArguments.contains("-key=")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key");
}

პროგრამისტმა, რომელმაც დაწერა კოდის ეს განყოფილება, დააკოპირა და ჩასვა ბოლო ორი ხაზი და დაავიწყდა მათი რედაქტირება. ამის გამო Chocolatey მომხმარებლებმა ვერ შეძლეს პარამეტრის გამოყენება აპიკი კიდევ რამდენიმე გზა. ზემოთ მოცემული პარამეტრების მსგავსად, შემიძლია შემოგთავაზოთ შემდეგი პარამეტრები:

commandArguments.contains("-apikey=");
commandArguments.contains("-api-key=");

Copy-paste შეცდომებს დიდი შანსი აქვს ადრე თუ გვიან გამოჩნდეს ნებისმიერ პროექტში დიდი რაოდენობით წყაროს კოდით და მათთან ბრძოლის ერთ-ერთი საუკეთესო საშუალებაა სტატიკური ანალიზი.

PS და როგორც ყოველთვის, ეს შეცდომა ხშირად ჩნდება მრავალხაზოვანი მდგომარეობის ბოლოს :). იხილეთ პუბლიკაცია "ბოლო ხაზის ეფექტი".

გაფრთხილება N8

ანალიზატორის გაფრთხილება: V3095 [CWE-476] 'installedPackage' ობიექტი გამოიყენებოდა მანამ, სანამ არ დადასტურდებოდა ნულიდან. შეამოწმეთ ხაზები: 910, 917. NugetService.cs 910

public virtual ConcurrentDictionary<string, PackageResult> get_outdated(....)
{
  ....
  var pinnedPackageResult = outdatedPackages.GetOrAdd(
    packageName, 
    new PackageResult(installedPackage, 
                      _fileSystem.combine_paths(
                        ApplicationParameters.PackagesLocation, 
                        installedPackage.Id)));
  ....
  if (   installedPackage != null
      && !string.IsNullOrWhiteSpace(installedPackage.Version.SpecialVersion) 
      && !config.UpgradeCommand.ExcludePrerelease)
  {
    ....
  }
  ....
}

კლასიკური შეცდომა: პირველი ობიექტი დაინსტალირებული პაკეტი გამოიყენება და შემდეგ შემოწმდება null. ეს დიაგნოსტიკა გვეუბნება პროგრამის ორიდან ერთ-ერთ პრობლემაზე: ან დაინსტალირებული პაკეტი არასოდეს თანაბარი null, რაც საეჭვოა, და შემდეგ შემოწმება ზედმეტია, ან შესაძლოა კოდში მივიღოთ სერიოზული შეცდომა - ნულოვანი მითითებაზე წვდომის მცდელობა.

დასკვნა

ასე რომ, ჩვენ გადავდგით კიდევ ერთი პატარა ნაბიჯი - ახლა PVS-Studio-ს გამოყენება კიდევ უფრო ადვილი და მოსახერხებელი გახდა. მე ასევე მინდა ვთქვა, რომ Chocolatey არის კარგი პაკეტის მენეჯერი კოდში მცირე რაოდენობის შეცდომით, რაც შეიძლება კიდევ უფრო ნაკლები იყოს PVS-Studio-ს გამოყენებისას.

ვეპატიჟებით ჩამოტვირთვა და სცადეთ PVS-Studio. სტატიკური ანალიზატორის რეგულარული გამოყენება გააუმჯობესებს თქვენი გუნდის შემუშავებული კოდის ხარისხს და სანდოობას და დაგეხმარებათ თავიდან აიცილოთ მრავალი ნულოვანი დღის დაუცველობა.

PS

გამოქვეყნებამდე სტატია შოკოლადის დეველოპერებს გავუგზავნეთ და მათ კარგად მიიღეს. ჩვენ ვერაფერი ვიპოვეთ კრიტიკული, მაგრამ მათ, მაგალითად, მოეწონათ ის შეცდომა, რომელიც ჩვენ აღმოვაჩინეთ, რომელიც დაკავშირებულია "api-key" კლავიშთან.

თუ გსურთ გაუზიაროთ ეს სტატია ინგლისურენოვან აუდიტორიას, გთხოვთ, გამოიყენოთ თარგმანის ბმული: ვლადისლავ სტოლიაროვი. PVS-Studio ახლა Chocolatey-შია: შოკოლადის შემოწმება Azure DevOps-ში.

წყარო: www.habr.com