PVS-Studio ახლა Chocolatey-შია: ამოწმებთ Chocolatey-ს Azure DevOps-დან

Мы продолжаем делать использование PVS-Studio удобнее. Теперь наш анализатор доступен в Chocolatey, пакетном менеджере для Windows. Мы полагаем, что это облегчит развёртывание PVS-Studio, в частности, в облачных сервисах. Чтобы не идти далеко, проверим исходный код всё того же Chocolatey. В качестве CI системы выступит Azure DevOps.

აქ მოცემულია ჩვენი სხვა სტატიების სია ღრუბლოვან ინტეგრაციაზე:

• PVS-Studio ღრუბლებში მიდის: Azure DevOps
• PVS-Studio მიდის ღრუბლებში: Travis CI
• PVS-Studio მიდის ღრუბლებში: CircleCI
• PVS-Studio მიდის ღრუბლებში: GitLab CI/CD

გირჩევთ, ყურადღება მიაქციოთ პირველ სტატიას Azure DevOps-თან ინტეგრაციის შესახებ, რადგან ამ შემთხვევაში ზოგიერთი პუნქტი გამოტოვებულია დუბლირების თავიდან ასაცილებლად.

ასე რომ, ამ სტატიის გმირები:

PVS- სტუდია — инструмент статического анализа кода, предназначенный для выявления ошибок и потенциальных уязвимостей в программах, написанных на языках С, C++, C# и Java. Работает в 64-битных системах на Windows, Linux и macOS, и может анализировать код, предназначенный для 32-битных, 64-битных и встраиваемых ARM платформ. Если вы впервые будете пробовать статический анализ кода для проверки своих проектов, то рекомендуем ознакомиться со სტატია იმის შესახებ, თუ როგორ სწრაფად ნახოთ PVS-Studio-ს ყველაზე საინტერესო გაფრთხილებები და შეაფასოთ ამ ინსტრუმენტის შესაძლებლობები.

Azure DevOps — ღრუბლოვანი სერვისების ნაკრები, რომელიც ერთობლივად მოიცავს მთელ შემუშავების პროცესს. ეს პლატფორმა მოიცავს ისეთ ინსტრუმენტებს, როგორიცაა Azure Pipelines, Azure Boards, Azure Artifacts, Azure Repos, Azure Test Plans, რომლებიც საშუალებას გაძლევთ დააჩქაროთ პროგრამული უზრუნველყოფის შემუშავების პროცესი და გააუმჯობესოთ მისი ხარისხი.

შოკოლადი – пакетный менеджер для Windows с открытым исходным кодом. Цель проекта — автоматизировать весь жизненный цикл программного обеспечения от установки до обновления и удаления в операционных системах Windows.

შოკოლადის გამოყენების შესახებ

პაკეტების მენეჯერის ინსტალაციის წესის ნახვა შეგიძლიათ აქ ლინკებიანალიზატორის ინსტალაციის სრული დოკუმენტაცია ხელმისაწვდომია შემდეგ ბმულზე: ლინკები განყოფილებაში „ინსტალაცია Chocolatey-ის პაკეტების მენეჯერის გამოყენებით“. მოკლედ გავიმეორებ იქიდან რამდენიმე პუნქტს.

ანალიზატორის უახლესი ვერსიის ინსტალაციის ბრძანება:

choco install pvs-studio

PVS-Studio პაკეტის კონკრეტული ვერსიის ინსტალაციის ბრძანება:

choco install pvs-studio --version=7.05.35617.2075

ნაგულისხმევად, მხოლოდ ანალიზატორის ბირთვია დაინსტალირებული — Core კომპონენტი. ყველა სხვა დროშის (Standalone, JavaCore, IDEA, MSVS2010, MSVS2012, MSVS2013, MSVS2015, MSVS2017, MSVS2019) გადაცემა შესაძლებელია --package-პარამეტრების გამოყენებით.

მაგალითი ბრძანება, რომელიც დააინსტალირებს ანალიზატორს Visual Studio 2019-ის დანამატით:

choco install pvs-studio --package-parameters="'/MSVS2019'"

ახლა მოდით განვიხილოთ ანალიზატორის მოსახერხებელი გამოყენების მაგალითი Azure DevOps-ში.

რეგულირება

შეგახსენებთ, რომ არსებობს ცალკე სტატია ისეთ საკითხებზე, როგორიცაა ანგარიშის რეგისტრაცია, Build Pipeline-ის შექმნა და ანგარიშის სინქრონიზაცია GitHub-ის საცავში განთავსებულ პროექტთან. სტატიისჩვენი დაყენება დაუყოვნებლივ დაიწყება კონფიგურაციის ფაილის ჩაწერით.

პირველ რიგში, მოდით დავაყენოთ გაშვების ტრიგერი, რომელიც მიუთითებს, რომ გაშვება მხოლოდ ცვლილებებისთვის მოხდება. სამაგისტრო ფილიალი:

trigger:
- master

Далее нам нужно выбрать виртуальную машину. На данный момент это будет Microsoft-hosted агент с Windows Server 2019 и Visual Studio 2019:

pool:
  vmImage: 'windows-latest'

მოდით გადავიდეთ კონფიგურაციის ფაილის ძირითად ნაწილზე (ბლოკი ნაბიჯები). მიუხედავად იმისა, რომ ვირტუალურ მანქანაში თვითნებური პროგრამული უზრუნველყოფის ინსტალაცია შეუძლებელია, მე Docker-ის კონტეინერი არ დამიმატებია. ჩვენ შეგვიძლია Chocolatey დავამატოთ, როგორც გაფართოება Azure DevOps-ისთვის. ამისათვის გადადით ლინკებიდააწკაპუნეთ Აიღე უფასოდშემდეგ, თუ უკვე ავტორიზებული ხართ, უბრალოდ აირჩიეთ თქვენი ანგარიში და თუ არა, იგივე გააკეთეთ ავტორიზაციის შემდეგ.

აქ თქვენ უნდა აირჩიოთ, სად დავამატებთ გაფართოებას და დააჭირეთ ღილაკს ინსტალაცია.

წარმატებული ინსტალაციის შემდეგ, დააწკაპუნეთ ორგანიზაციაზე გადასვლა:

ახლა ფანჯარაში შეგიძლიათ ნახოთ Chocolatey დავალების შაბლონი. ამოცანები კონფიგურაციის ფაილის რედაქტირებისას azure-pipelines.yml:

მოდით დავაწკაპუნოთ Chocolatey-ზე და ვნახოთ ველების სია:

აქ ჩვენ უნდა ავირჩიოთ ინსტალაცია ველში ბრძანებები. შიგნით Nuspec ფაილის სახელი ჩვენ მივუთითებთ საჭირო პაკეტის სახელს – pvs-studio. თუ არ მიუთითებთ ვერსიას, დაინსტალირდება უახლესი, რომელიც სრულად გვაწყობს. დააჭირეთ ღილაკს დავამატებთ და გენერირებულ დავალებას კონფიგურაციის ფაილში ვნახავთ.

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

შემდეგ, გადავიდეთ ჩვენი ფაილის მთავარ ნაწილზე:

- task: CmdLine@2
  inputs:
    script: 

ახლა ჩვენ უნდა შევქმნათ ფაილი ანალიზატორის ლიცენზიით. აქ პირადი სახელი и PVSKEY – ცვლადების სახელები, რომელთა მნიშვნელობებსაც პარამეტრებში ვაფიქსირებთ. ისინი შეინახავენ PVS-Studio-ს შესვლისა და ლიცენზიის გასაღებს. მათი მნიშვნელობების დასაყენებლად, გახსენით მენიუ ცვლადები -> ახალი ცვლადიმოდით შევქმნათ ცვლადები პირადი სახელი შესვლისთვის და PVSKEY ანალიზატორის გასაღებისთვის. არ დაგავიწყდეთ ველის მონიშვნა შეინახეთ ეს ღირებულება საიდუმლოდ ამისთვის PVSKEYბრძანების კოდი:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" credentials 
–u $(PVSNAME) –n $(PVSKEY)

მოდით, შევქმნათ პროექტი რეპოზიტორში განთავსებული bat ფაილის გამოყენებით:

сall build.bat

მოდით შევქმნათ საქაღალდე, სადაც ანალიზატორის შედეგების მქონე ფაილები შეინახება:

сall mkdir PVSTestResults

მოდით, ჩავატაროთ პროექტის ანალიზი:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
–t .srcchocolatey.sln –o .PVSTestResultsChoco.plog 

ჩვენ ჩვენს ანგარიშს HTML ფორმატში ვაქცევთ PlogСonverter-ის უტილიტის გამოყენებით:

сall "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
–t html –o PVSTestResults .PVSTestResultsChoco.plog

ახლა თქვენ უნდა შექმნათ დავალება, რათა ანგარიში ატვირთოთ.

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

სრული კონფიგურაციის ფაილი ასე გამოიყურება:

trigger:
- master

pool:
  vmImage: 'windows-latest'

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

- task: CmdLine@2
  inputs:
    script: |
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      credentials –u $(PVSNAME) –n $(PVSKEY)
      call build.bat
      call mkdir PVSTestResults
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      –t .srcchocolatey.sln –o .PVSTestResultsChoco.plog
      call "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
      –t html –o .PVSTestResults .PVSTestResultsChoco.plog

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

მოდით დავაჭიროთ შენახვა->შენახვა->გაშვება დავალების შესასრულებლად. გადმოწერეთ ანგარიში დავალების ჩანართზე გადასვლით.

Chocolatey პროექტი მხოლოდ 37615 სტრიქონ C# კოდს შეიცავს. მოდით განვიხილოთ აღმოჩენილი შეცდომები.

ტესტის შედეგები

გაფრთხილება N1

ანალიზატორის გაფრთხილება: V3005 „Provider“ ცვლადი მინიჭებულია საკუთარ თავს. CrytpoHashProviderSpecs.cs 38

public abstract class CrytpoHashProviderSpecsBase : TinySpec
{
  ....
  protected CryptoHashProvider Provider;
  ....
  public override void Context()
  {
    Provider = Provider = new CryptoHashProvider(FileSystem.Object);
  }
}

ანალიზატორმა აღმოაჩინა ცვლადის საკუთარ თავზე მინიჭება, რაც აზრს მოკლებულია. სავარაუდოდ, ამ ცვლადებიდან ერთ-ერთის ნაცვლად სხვა ცვლადი უნდა იყოს. ან ეს შეცდომაა და დამატებითი მინიჭება უბრალოდ შეიძლება წაიშალოს.

გაფრთხილება N2

ანალიზატორის გაფრთხილება: V3093 [CWE-480] '&' ოპერატორი ორივე ოპერანდს აფასებს. შესაძლოა, მის ნაცვლად გამოყენებული იქნას მოკლე ჩართვის '&&' ოპერატორი. Platform.cs 64

public static PlatformType get_platform()
{
  switch (Environment.OSVersion.Platform)
  {
    case PlatformID.MacOSX:
    {
      ....
    }
    case PlatformID.Unix:
    if(file_system.directory_exists("/Applications")
      & file_system.directory_exists("/System")
      & file_system.directory_exists("/Users")
      & file_system.directory_exists("/Volumes"))
      {
        return PlatformType.Mac;
      }
        else
          return PlatformType.Linux;
    default:
      return PlatformType.Windows;
  }
}

ოპერატორის განსხვავება & ოპერატორისგან && არის ის, რომ თუ გამოთქმის მარცხენა მხარე არის ყალბი, მაშინ მარჯვენა მხარე მაინც გამოითვლება, რაც ამ შემთხვევაში დამატებით მეთოდის გამოძახებას გულისხმობს. system.directory_exists.

განხილულ ფრაგმენტში ეს მცირე ხარვეზია. დიახ, ამ პირობის ოპტიმიზაცია შესაძლებელია & ოპერატორის && ოპერატორით ჩანაცვლებით, მაგრამ პრაქტიკული თვალსაზრისით, ეს არაფერზე გავლენას არ ახდენს. თუმცა, სხვა შემთხვევებში, & და &&-ს შორის აღრევამ შეიძლება სერიოზული პრობლემები გამოიწვიოს, როდესაც გამოსახულების მარჯვენა მხარე არასწორი/არასწორი მნიშვნელობებით იმუშავებს. მაგალითად, ჩვენს შეცდომების კოლექციაში, იდენტიფიცირებულია დიაგნოსტიკური V3093-ის გამოყენებით, ასეთი შემთხვევაც არსებობს:

if ((k < nct) & (s[k] != 0.0))

მაშინაც კი, თუ ინდექსი k არასწორია, ის გამოყენებული იქნება მასივის ელემენტზე წვდომისთვის. ეს გამოიწვევს გამონაკლისის წარმოქმნას. IndexOutOfRangeException.

გაფრთხილებები N3, N4

ანალიზატორის გაფრთხილება: V3022 [CWE-571] გამოსახულება „shortPrompt“ ყოველთვის მართალია. InteractivePrompt.cs 101
ანალიზატორის გაფრთხილება: V3022 [CWE-571] გამოსახულება „shortPrompt“ ყოველთვის მართალია. InteractivePrompt.cs 105

public static string 
prompt_for_confirmation(.... bool shortPrompt = false, ....)
{
  ....
  if (shortPrompt)
  {
    var choicePrompt = choice.is_equal_to(defaultChoice) //1
    ?
    shortPrompt //2
    ?
    "[[{0}]{1}]".format_with(choice.Substring(0, 1).ToUpperInvariant(), //3
    choice.Substring(1,choice.Length - 1))
    :
    "[{0}]".format_with(choice.ToUpperInvariant()) //0
    : 
    shortPrompt //4
    ? 
    "[{0}]{1}".format_with(choice.Substring(0,1).ToUpperInvariant(), //5
    choice.Substring(1,choice.Length - 1)) 
    :
    choice; //0
    ....
  }
  ....
}

ამ შემთხვევაში, არსებობს სამნაწილიანი ოპერატორის უცნაური ლოგიკა. მოდით, უფრო ახლოს განვიხილოთ: თუ პირობა, რომელიც 1-ით მოვნიშნე, დაკმაყოფილებულია, მაშინ გადავალთ პირობა 2-ზე, რომელიც ყოველთვის არის მართალია, რაც ნიშნავს, რომ შესრულდება მე-3 ხაზი. თუ პირობა 1 მცდარი აღმოჩნდება, მაშინ გადავალთ მე-4 ნომრით მონიშნულ ხაზზე, რომელშიც ეს პირობა ასევე ყოველთვის არის მართალია, რაც ნიშნავს, რომ შესრულდება მე-5 ხაზი. ამრიგად, 0 კომენტარით მონიშნული პირობები არასდროს შესრულდება, რაც შესაძლოა არ შეესაბამებოდეს პროგრამისტის მიერ მოლოდინს.

გაფრთხილება N5

ანალიზატორის გაფრთხილება: V3123 [CWE-783] შესაძლოა, ოპერატორი „?:“ სხვაგვარად მუშაობს, ვიდრე მოსალოდნელი იყო. მისი პრიორიტეტი უფრო დაბალია, ვიდრე სხვა ოპერატორების პრიორიტეტი მის მდგომარეობაში. Options.cs 1019

private static string GetArgumentName (...., string description)
{
  string[] nameStart;
  if (maxIndex == 1)
  {
    nameStart = new string[]{"{0:", "{"};
  }
  else
  {
    nameStart = new string[]{"{" + index + ":"};
  }
  for (int i = 0; i < nameStart.Length; ++i) 
  {
    int start, j = 0;
    do 
    {
      start = description.IndexOf (nameStart [i], j);
    } 
    while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false);
    ....
    return maxIndex == 1 ? "VALUE" : "VALUE" + (index + 1);
  }
}

დიაგნოსტიკა ხაზზე მუშაობდა:

while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false)

რადგან ცვლადი j რამდენიმე სტრიქონი ზემოთ ნულის ინიციალიზაციისას, სამმაგი ოპერატორი დააბრუნებს მნიშვნელობას ყალბიამ პირობის გამო, ციკლის სხეული მხოლოდ ერთხელ შესრულდება. მეჩვენება, რომ კოდის ეს ნაწილი ისე არ მუშაობს, როგორც პროგრამისტს ჰქონდა განზრახული.

გაფრთხილება N6

ანალიზატორის გაფრთხილება: V3022 [CWE-571] გამოსახულება 'installedPackageVersions.Count != 1' ყოველთვის მართალია. NugetService.cs 1405

private void remove_nuget_cache_for_package(....)
{
  if (!config.AllVersions && installedPackageVersions.Count > 1)
  {
    const string allVersionsChoice = "All versions";
    if (installedPackageVersions.Count != 1)
    {
      choices.Add(allVersionsChoice);
    }
    ....
  }
  ....
}

აქ უცნაური ჩადგმული პირობაა: installedPackageVersions.Count != 1, რომელიც ყოველთვის იქნება მართალიახშირად ასეთი გაფრთხილება კოდში ლოგიკურ შეცდომაზე მიუთითებს, სხვა შემთხვევებში კი უბრალოდ ზედმეტ შემოწმებაზე.

გაფრთხილება N7

ანალიზატორის გაფრთხილება: V3001 ოპერატორის „||“ მარცხნივ და მარჯვნივ არის იდენტური ქვეგამოსახულებები „commandArguments.contains("-apikey")“. ArgumentsUtility.cs 42

public static bool arguments_contain_sensitive_information(string
 commandArguments)
{
  return commandArguments.contains("-install-arguments-sensitive")
  || commandArguments.contains("-package-parameters-sensitive")
  || commandArguments.contains("apikey ")
  || commandArguments.contains("config ")
  || commandArguments.contains("push ")
  || commandArguments.contains("-p ")
  || commandArguments.contains("-p=")
  || commandArguments.contains("-password")
  || commandArguments.contains("-cp ")
  || commandArguments.contains("-cp=")
  || commandArguments.contains("-certpassword")
  || commandArguments.contains("-k ")
  || commandArguments.contains("-k=")
  || commandArguments.contains("-key ")
  || commandArguments.contains("-key=")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key");
}

პროგრამისტმა, რომელმაც კოდის ეს ნაწილი დაწერა, ბოლო ორი სტრიქონი დააკოპირა და მათი რედაქტირება დაავიწყდა. ამის გამო, Chocolatey-ის მომხმარებლებს პარამეტრის გამოყენება არ შეეძლოთ. აპიკი კიდევ რამდენიმე გზა. ზემოთ მოცემული პარამეტრების მსგავსად, შემიძლია შემოგთავაზოთ შემდეგი ვარიანტები:

commandArguments.contains("-apikey=");
commandArguments.contains("-api-key=");

კოპირება-ჩასმის შეცდომების დიდი ალბათობით, ადრე თუ გვიან, გამოვლენის მაღალი ალბათობა არსებობს ნებისმიერ პროექტში, რომელსაც დიდი რაოდენობით საწყისი კოდი აქვს და მათთან ბრძოლის ერთ-ერთი საუკეთესო საშუალება სტატიკური ანალიზია.

P.S. და როგორც ყოველთვის, ეს შეცდომა, როგორც წესი, მრავალსტრიქონიანი პირობის ბოლოს ჩნდება :). იხილეთ პუბლიკაცია "ბოლო ხაზის ეფექტი".

გაფრთხილება N8

ანალიზატორის გაფრთხილება: V3095 [CWE-476] ობიექტი „installedPackage“ გამოყენებული იყო null-თან ვერიფიკაციამდე. შემოწმების ხაზები: 910, 917. NugetService.cs 910

public virtual ConcurrentDictionary<string, PackageResult> get_outdated(....)
{
  ....
  var pinnedPackageResult = outdatedPackages.GetOrAdd(
    packageName, 
    new PackageResult(installedPackage, 
                      _fileSystem.combine_paths(
                        ApplicationParameters.PackagesLocation, 
                        installedPackage.Id)));
  ....
  if (   installedPackage != null
      && !string.IsNullOrWhiteSpace(installedPackage.Version.SpecialVersion) 
      && !config.UpgradeCommand.ExcludePrerelease)
  {
    ....
  }
  ....
}

კლასიკური შეცდომა: ობიექტი პირველ რიგში დაინსტალირებული პაკეტი გამოიყენება და შემდეგ შემოწმებულია nullეს დიაგნოსტიკა პროგრამაში არსებული ორი პრობლემიდან ერთ-ერთის შესახებ გვეუბნება: ან დაინსტალირებული პაკეტი არასდროს თანაბარი null, რაც საეჭვოა და შემდეგ შემოწმება ზედმეტია, ან შესაძლოა კოდში სერიოზული შეცდომა მივიღოთ - წვდომის მცდელობა ნულოვანი მითითებით.

დასკვნა

ასე რომ, ჩვენ კიდევ ერთი პატარა ნაბიჯი გადავდგით - ახლა PVS-Studio-ს გამოყენება კიდევ უფრო მარტივი და მოსახერხებელი გახდა. ასევე მინდა ვთქვა, რომ Chocolatey კარგი პაკეტების მენეჯერია კოდში შეცდომების მცირე რაოდენობით, რაც კიდევ უფრო ნაკლები იქნებოდა PVS-Studio-ს გამოყენების შემთხვევაში.

ვეპატიჟებით ჩამოტვირთვა და სცადეთ PVS-Studio. სტატიკური ანალიზატორის რეგულარული გამოყენება გააუმჯობესებს თქვენი გუნდის მიერ შემუშავებული კოდის ხარისხსა და სანდოობას და ხელს შეუწყობს მრავალი პრობლემის თავიდან აცილებას. ნულოვანი დღის დაუცველობები.

PS

გამოქვეყნებამდე სტატია Chocolatey-ის დეველოპერებს გავუგზავნეთ და მათაც კარგად მიიღეს. კრიტიკული ვერაფერი ვიპოვეთ, თუმცა, მაგალითად, „api-key“-თან დაკავშირებული შეცდომა მოეწონათ.

თუ გსურთ გაუზიაროთ ეს სტატია ინგლისურენოვან აუდიტორიას, გთხოვთ, გამოიყენოთ თარგმანის ბმული: ვლადისლავ სტოლიაროვი. PVS-Studio ახლა Chocolatey-შია: Chocolatey-ს შემოწმება Azure DevOps-ის ქვეშ.

წყარო: www.habr.com