PVS-Studio ឥឡូវនេះស្ថិតនៅក្នុង Chocolatey៖ ពិនិត្យ Chocolatey ពីក្រោម Azure DevOps

យើងបន្តធ្វើឱ្យការប្រើប្រាស់ PVS-Studio កាន់តែងាយស្រួល។ ឧបករណ៍វិភាគរបស់យើងឥឡូវនេះមាននៅក្នុង Chocolatey ដែលជាកម្មវិធីគ្រប់គ្រងកញ្ចប់សម្រាប់ Windows ។ យើងជឿជាក់ថានេះនឹងជួយសម្រួលដល់ការដាក់ពង្រាយ PVS-Studio ជាពិសេសនៅក្នុងសេវាកម្មពពក។ ដើម្បី​កុំ​ឲ្យ​ទៅ​ណា​ឆ្ងាយ​ តោះ​ទៅ​ពិនិត្យ​ប្រភព​កូដ​របស់ Chocolatey ដូច​គ្នា។ Azure DevOps នឹងដើរតួជាប្រព័ន្ធ CI ។

នេះគឺជាបញ្ជីនៃអត្ថបទផ្សេងទៀតរបស់យើងលើប្រធានបទនៃការរួមបញ្ចូលជាមួយប្រព័ន្ធពពក៖

• PVS-Studio ទៅពពក៖ Azure DevOps
• PVS-Studio ទៅពពក៖ Travis CI
• PVS-Studio ទៅពពក: CircleCI
• PVS-Studio ទៅពពក៖ GitLab CI/CD

ខ្ញុំណែនាំអ្នកឱ្យយកចិត្តទុកដាក់លើអត្ថបទដំបូងអំពីការរួមបញ្ចូលជាមួយ Azure DevOps ព្រោះក្នុងករណីនេះចំណុចមួយចំនួនត្រូវបានលុបចោល ដើម្បីកុំឱ្យចម្លង។

ដូច្នេះវីរបុរសនៃអត្ថបទនេះ៖

ភី។ អេស។ អេស។ ស្ទូឌីយោ គឺជាឧបករណ៍វិភាគកូដឋិតិវន្តដែលត្រូវបានរចនាឡើងដើម្បីកំណត់អត្តសញ្ញាណកំហុស និងភាពងាយរងគ្រោះដែលអាចកើតមាននៅក្នុងកម្មវិធីដែលសរសេរក្នុង C, C++, C# និង Java ។ ដំណើរការលើប្រព័ន្ធ 64-bit Windows, Linux និង macOS ហើយអាចវិភាគកូដដែលបានរចនាឡើងសម្រាប់វេទិកា 32-bit, 64-bit និង ARM ដែលបានបង្កប់។ ប្រសិនបើនេះជាលើកទីមួយរបស់អ្នកដែលព្យាយាមធ្វើការវិភាគកូដឋិតិវន្ត ដើម្បីពិនិត្យមើលគម្រោងរបស់អ្នក យើងសូមណែនាំឱ្យអ្នកស្គាល់ខ្លួនអ្នកជាមួយ អត្ថបទ អំពីរបៀបមើលការព្រមាន PVS-Studio ដែលគួរឱ្យចាប់អារម្មណ៍បំផុតយ៉ាងឆាប់រហ័ស និងវាយតម្លៃសមត្ថភាពនៃឧបករណ៍នេះ។

Azure DevOps - សំណុំនៃសេវាកម្មពពកដែលរួមគ្នាគ្របដណ្តប់ដំណើរការអភិវឌ្ឍន៍ទាំងមូល។ វេទិកានេះរួមបញ្ចូលឧបករណ៍ដូចជា Azure Pipelines, Azure Boards, Azure Artifacts, Azure Repos, Azure Test Plans ដែលអនុញ្ញាតឱ្យអ្នកបង្កើនល្បឿនដំណើរការបង្កើតកម្មវិធី និងកែលម្អគុណភាពរបស់វា។

សូកូឡា គឺជាកម្មវិធីគ្រប់គ្រងកញ្ចប់ប្រភពបើកចំហសម្រាប់ Windows ។ គោលដៅនៃគម្រោងនេះគឺដើម្បីធ្វើឱ្យវដ្តជីវិតកម្មវិធីទាំងមូលដោយស្វ័យប្រវត្តិពីការដំឡើងរហូតដល់ការធ្វើបច្ចុប្បន្នភាព និងការលុបនៅលើប្រព័ន្ធប្រតិបត្តិការ Windows ។

អំពីការប្រើប្រាស់សូកូឡា

អ្នកអាចមើលពីរបៀបដំឡើងកម្មវិធីគ្រប់គ្រងកញ្ចប់ដោយខ្លួនវាផ្ទាល់ តំណភ្ជាប់. ឯកសារពេញលេញសម្រាប់ការដំឡើងឧបករណ៍វិភាគអាចរកបាននៅ តំណភ្ជាប់ សូមមើលការដំឡើងដោយប្រើផ្នែកកម្មវិធីគ្រប់គ្រងកញ្ចប់ Chocolatey ។ ខ្ញុំនឹងនិយាយឡើងវិញដោយសង្ខេបនូវចំណុចមួយចំនួនពីទីនោះ។

ពាក្យបញ្ជាដើម្បីដំឡើងកំណែចុងក្រោយបំផុតនៃឧបករណ៍វិភាគ៖

choco install pvs-studio

ពាក្យបញ្ជាដើម្បីដំឡើងកំណែជាក់លាក់នៃកញ្ចប់ PVS-Studio៖

choco install pvs-studio --version=7.05.35617.2075

តាមលំនាំដើម មានតែស្នូលនៃឧបករណ៍វិភាគ ដែលជាសមាសភាគស្នូលប៉ុណ្ណោះដែលត្រូវបានដំឡើង។ ទង់ផ្សេងទៀតទាំងអស់ ( Standalone, JavaCore, IDEA, MSVS2010, MSVS2012, MSVS2013, MSVS2015, MSVS2017, MSVS2019) អាចត្រូវបានឆ្លងកាត់ដោយប្រើ --package-parameters។

ឧទាហរណ៍នៃពាក្យបញ្ជាដែលនឹងដំឡើងឧបករណ៍វិភាគជាមួយកម្មវិធីជំនួយសម្រាប់ Visual Studio 2019៖

choco install pvs-studio --package-parameters="'/MSVS2019'"

ឥឡូវនេះសូមក្រឡេកមើលឧទាហរណ៍នៃការប្រើប្រាស់ឧបករណ៍វិភាគដ៏ងាយស្រួលនៅក្រោម Azure DevOps ។

ការលៃតម្រូវ

ខ្ញុំសូមរំលឹកអ្នកថាមានផ្នែកដាច់ដោយឡែកអំពីបញ្ហាដូចជាការចុះឈ្មោះគណនី បង្កើត Build Pipeline និងធ្វើសមកាលកម្មគណនីរបស់អ្នកជាមួយនឹងគម្រោងដែលមានទីតាំងនៅក្នុងឃ្លាំង GitHub ។ អត្ថបទ. ការរៀបចំរបស់យើងនឹងចាប់ផ្តើមភ្លាមៗជាមួយនឹងការសរសេរឯកសារកំណត់រចនាសម្ព័ន្ធ។

ជាដំបូង ចូរយើងរៀបចំកម្មវិធីបើកដំណើរការ ដែលបង្ហាញថាយើងបើកដំណើរការសម្រាប់តែការផ្លាស់ប្តូរនៅក្នុង មេ សាខា៖

trigger:
- master

បន្ទាប់យើងត្រូវជ្រើសរើសម៉ាស៊ីននិម្មិត។ សម្រាប់ពេលនេះ វានឹងក្លាយជាភ្នាក់ងារដែលរៀបចំដោយ Microsoft ជាមួយ Windows Server 2019 និង Visual Studio 2019៖

pool:
  vmImage: 'windows-latest'

ចូរបន្តទៅតួនៃឯកសារកំណត់រចនាសម្ព័ន្ធ (ប្លុក ជំហាន) ទោះបីជាការពិតដែលថាអ្នកមិនអាចដំឡើងកម្មវិធីបំពានទៅក្នុងម៉ាស៊ីននិម្មិតក៏ដោយ ក៏ខ្ញុំមិនបានបន្ថែម Docker container ដែរ។ យើងអាចបន្ថែម Chocolatey ជាផ្នែកបន្ថែមសម្រាប់ Azure DevOps ។ ដើម្បីធ្វើដូចនេះសូមទៅ តំណភ្ជាប់. ចុច យកវាដោយឥតគិតថ្លៃ. បន្ទាប់មក ប្រសិនបើអ្នកត្រូវបានអនុញ្ញាតរួចហើយ គ្រាន់តែជ្រើសរើសគណនីរបស់អ្នក ហើយប្រសិនបើមិនមានទេ បន្ទាប់មកធ្វើដូចគ្នាបន្ទាប់ពីការអនុញ្ញាត។

នៅទីនេះអ្នកត្រូវជ្រើសរើសកន្លែងដែលយើងនឹងបន្ថែមផ្នែកបន្ថែមហើយចុចប៊ូតុង ដំឡើង.

បន្ទាប់ពីការដំឡើងជោគជ័យសូមចុច បន្តទៅអង្គការ:

ឥឡូវនេះ អ្នកអាចឃើញគំរូសម្រាប់កិច្ចការ Chocolatey នៅក្នុងបង្អួច ភារកិច្ច នៅពេលកែសម្រួលឯកសារកំណត់រចនាសម្ព័ន្ធ azure-pipelines.yml៖

ចុចលើ Chocolatey ហើយមើលបញ្ជីវាល៖

នៅទីនេះយើងត្រូវជ្រើសរើស ដំឡើង នៅក្នុងវាលជាមួយក្រុម។ IN ឈ្មោះឯកសារ Nuspec បង្ហាញឈ្មោះកញ្ចប់ដែលត្រូវការ - pvs-studio ។ ប្រសិនបើអ្នកមិនបញ្ជាក់កំណែទេ កំណែចុងក្រោយបំផុតនឹងត្រូវបានដំឡើង ដែលសាកសមនឹងយើងទាំងស្រុង។ តោះចុចប៊ូតុង បន្ថែម ហើយយើងនឹងឃើញភារកិច្ចដែលបានបង្កើតនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ។

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

បន្ទាប់មក យើងបន្តទៅផ្នែកសំខាន់នៃឯកសាររបស់យើង៖

- task: CmdLine@2
  inputs:
    script: 

ឥឡូវនេះយើងត្រូវបង្កើតឯកសារដែលមានអាជ្ញាប័ណ្ណអ្នកវិភាគ។ នៅទីនេះ PVSNAME и PVSKEY – ឈ្មោះ​នៃ​អថេរ​ដែល​តម្លៃ​យើង​បញ្ជាក់​ក្នុង​ការ​កំណត់។ ពួកគេនឹងរក្សាទុកការចូល PVS-Studio និងលេខកូដអាជ្ញាប័ណ្ណ។ ដើម្បីកំណត់តម្លៃរបស់វា សូមបើកម៉ឺនុយ Variables-> អថេរថ្មី។. តោះបង្កើតអថេរ PVSNAME សម្រាប់ការចូលនិង PVSKEY សម្រាប់គន្លឹះវិភាគ។ កុំភ្លេចពិនិត្យមើលប្រអប់ រក្សាតម្លៃនេះជាសម្ងាត់ សម្រាប់ PVSKEY. កូដ​បញ្ជា៖

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" credentials 
–u $(PVSNAME) –n $(PVSKEY)

ចូរយើងបង្កើតគម្រោងដោយប្រើឯកសារ bat ដែលមានទីតាំងនៅក្នុងឃ្លាំង៖

сall build.bat

តោះបង្កើត folder ដែលឯកសារដែលមានលទ្ធផលរបស់អ្នកវិភាគនឹងត្រូវបានរក្សាទុក៖

сall mkdir PVSTestResults

តោះចាប់ផ្តើមវិភាគគម្រោង៖

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
–t .srcchocolatey.sln –o .PVSTestResultsChoco.plog 

យើងបំប្លែងរបាយការណ៍របស់យើងទៅជាទម្រង់ html ដោយប្រើឧបករណ៍ប្រើប្រាស់ PlogСonverter៖

сall "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
–t html –o PVSTestResults .PVSTestResultsChoco.plog

ឥឡូវ​នេះ អ្នក​ត្រូវ​បង្កើត​កិច្ចការ​មួយ ដើម្បី​ឱ្យ​អ្នក​អាច​បង្ហោះ​របាយការណ៍​បាន។

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

ឯកសារកំណត់រចនាសម្ព័ន្ធពេញលេញមើលទៅដូចនេះ៖

trigger:
- master

pool:
  vmImage: 'windows-latest'

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

- task: CmdLine@2
  inputs:
    script: |
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      credentials –u $(PVSNAME) –n $(PVSKEY)
      call build.bat
      call mkdir PVSTestResults
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      –t .srcchocolatey.sln –o .PVSTestResultsChoco.plog
      call "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
      –t html –o .PVSTestResults .PVSTestResultsChoco.plog

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

តោះចុច រក្សាទុក -> រក្សាទុក -> រត់ ដើម្បីដំណើរការភារកិច្ច។ តោះទាញយករបាយការណ៍ដោយចូលទៅកាន់ផ្ទាំងកិច្ចការ។

គម្រោង Chocolatey មានត្រឹមតែ 37615 បន្ទាត់នៃកូដ C# ប៉ុណ្ណោះ។ សូមក្រឡេកមើលកំហុសមួយចំនួនដែលបានរកឃើញ។

លទ្ធផល​តេ​ស្ត

ការព្រមាន N1

ការព្រមានរបស់អ្នកវិភាគ៖ V3005 អថេរ 'អ្នកផ្តល់សេវា' ត្រូវបានកំណត់ទៅខ្លួនវាផ្ទាល់។ CrytpoHashProviderSpecs.cs ៣៨

public abstract class CrytpoHashProviderSpecsBase : TinySpec
{
  ....
  protected CryptoHashProvider Provider;
  ....
  public override void Context()
  {
    Provider = Provider = new CryptoHashProvider(FileSystem.Object);
  }
}

អ្នកវិភាគបានរកឃើញការចាត់តាំងនៃអថេរទៅខ្លួនវា ដែលមិនសមហេតុផល។ ភាគច្រើនទំនងជាជំនួសឱ្យអថេរមួយក្នុងចំណោមអថេរទាំងនេះ គួរតែមានមួយផ្សេងទៀត។ មែនហើយ ឬនេះគឺជាការវាយខុស ហើយកិច្ចការបន្ថែមអាចត្រូវបានយកចេញដោយសាមញ្ញ។

ការព្រមាន N2

ការព្រមានរបស់អ្នកវិភាគ៖ V3093 [CWE-480] ប្រតិបត្តិករ '&' វាយតម្លៃប្រតិបត្តិការទាំងពីរ។ ប្រហែល​ជា​សៀគ្វី​ខ្លី '&&' operator គួរ​ត្រូវ​បាន​ប្រើ​ជំនួស​វិញ។ Platform.cs ៦៤

public static PlatformType get_platform()
{
  switch (Environment.OSVersion.Platform)
  {
    case PlatformID.MacOSX:
    {
      ....
    }
    case PlatformID.Unix:
    if(file_system.directory_exists("/Applications")
      & file_system.directory_exists("/System")
      & file_system.directory_exists("/Users")
      & file_system.directory_exists("/Volumes"))
      {
        return PlatformType.Mac;
      }
        else
          return PlatformType.Linux;
    default:
      return PlatformType.Windows;
  }
}

ភាពខុសគ្នានៃប្រតិបត្តិករ & ពីប្រតិបត្តិករ && គឺថាប្រសិនបើផ្នែកខាងឆ្វេងនៃកន្សោមគឺ មិនពិតបន្ទាប់មកផ្នែកខាងស្តាំនឹងនៅតែត្រូវបានគណនាដែលក្នុងករណីនេះបង្កប់ន័យការហៅវិធីសាស្រ្តដែលមិនចាំបាច់ system.directory_មាន.

នៅក្នុងបំណែកដែលបានពិចារណា នេះគឺជាគុណវិបត្តិតូចមួយ។ បាទ/ចាស លក្ខខណ្ឌនេះអាចត្រូវបានធ្វើឱ្យប្រសើរដោយការជំនួស && ដោយប្រើប្រតិបត្តិករ && ប៉ុន្តែតាមទស្សនៈជាក់ស្តែង វាមិនប៉ះពាល់ដល់អ្វីនោះទេ។ ទោះយ៉ាងណាក៏ដោយ ក្នុងករណីផ្សេងទៀត ការភាន់ច្រឡំរវាង & និង & អាចបង្កឱ្យមានបញ្ហាធ្ងន់ធ្ងរ នៅពេលដែលផ្នែកខាងស្តាំនៃកន្សោមត្រូវបានចាត់ទុកដោយតម្លៃមិនត្រឹមត្រូវ/មិនត្រឹមត្រូវ។ ឧទាហរណ៍ នៅក្នុងការប្រមូលកំហុសរបស់យើង កំណត់អត្តសញ្ញាណដោយប្រើការវិនិច្ឆ័យ V3093, មានករណីនេះ៖

if ((k < nct) & (s[k] != 0.0))

ទោះបីជាសន្ទស្សន៍ k មិនត្រឹមត្រូវទេ វានឹងត្រូវបានប្រើដើម្បីចូលប្រើធាតុអារេ។ ជាលទ្ធផលករណីលើកលែងមួយនឹងត្រូវបានបោះចោល IndexOutOfRangeException.

ការព្រមាន N3, N4

ការព្រមានរបស់អ្នកវិភាគ៖ V3022 [CWE-571] កន្សោម 'shortPrompt' គឺតែងតែជាការពិត។ InteractivePrompt.cs ១០១
ការព្រមានរបស់អ្នកវិភាគ៖ V3022 [CWE-571] កន្សោម 'shortPrompt' គឺតែងតែជាការពិត។ InteractivePrompt.cs ១០១

public static string 
prompt_for_confirmation(.... bool shortPrompt = false, ....)
{
  ....
  if (shortPrompt)
  {
    var choicePrompt = choice.is_equal_to(defaultChoice) //1
    ?
    shortPrompt //2
    ?
    "[[{0}]{1}]".format_with(choice.Substring(0, 1).ToUpperInvariant(), //3
    choice.Substring(1,choice.Length - 1))
    :
    "[{0}]".format_with(choice.ToUpperInvariant()) //0
    : 
    shortPrompt //4
    ? 
    "[{0}]{1}".format_with(choice.Substring(0,1).ToUpperInvariant(), //5
    choice.Substring(1,choice.Length - 1)) 
    :
    choice; //0
    ....
  }
  ....
}

ក្នុងករណីនេះមានតក្កវិជ្ជាចម្លែកនៅពីក្រោយប្រតិបត្តិការរបស់ប្រតិបត្តិករ ternary ។ សូមក្រឡេកមើលឱ្យកាន់តែច្បាស់៖ ប្រសិនបើលក្ខខណ្ឌដែលខ្ញុំបានសម្គាល់ដោយលេខ 1 ត្រូវបានបំពេញ នោះយើងនឹងបន្តទៅលក្ខខណ្ឌទី 2 ដែលតែងតែជា ជាការពិតដែលមានន័យថា បន្ទាត់ទី 3 នឹងត្រូវបានប្រតិបត្តិ។ ប្រសិនបើលក្ខខណ្ឌ 1 ប្រែថាមិនពិត នោះយើងនឹងទៅបន្ទាត់ដែលសម្គាល់ដោយលេខ 4 ដែលជាលក្ខខណ្ឌតែងតែ ជាការពិតដែលមានន័យថាបន្ទាត់ទី 5 នឹងត្រូវបានប្រតិបត្តិ។ ដូច្នេះលក្ខខណ្ឌដែលបានសម្គាល់ដោយមតិយោបល់ 0 នឹងមិនត្រូវបានអនុវត្តទេ ដែលប្រហែលជាមិនមែនជាតក្កវិជ្ជានៃប្រតិបត្តិការដែលអ្នកសរសេរកម្មវិធីរំពឹងទុកនោះទេ។

ការព្រមាន N5

ការព្រមានរបស់អ្នកវិភាគ៖ V3123 [CWE-783] ប្រហែល '?:' ប្រតិបត្តិករដំណើរការតាមរបៀបខុសពីអ្វីដែលរំពឹងទុក។ អាទិភាពរបស់វាគឺទាបជាងអាទិភាពរបស់ប្រតិបត្តិករផ្សេងទៀតនៅក្នុងលក្ខខណ្ឌរបស់វា។ Options.cs 1019

private static string GetArgumentName (...., string description)
{
  string[] nameStart;
  if (maxIndex == 1)
  {
    nameStart = new string[]{"{0:", "{"};
  }
  else
  {
    nameStart = new string[]{"{" + index + ":"};
  }
  for (int i = 0; i < nameStart.Length; ++i) 
  {
    int start, j = 0;
    do 
    {
      start = description.IndexOf (nameStart [i], j);
    } 
    while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false);
    ....
    return maxIndex == 1 ? "VALUE" : "VALUE" + (index + 1);
  }
}

ការធ្វើរោគវិនិច្ឆ័យបានធ្វើការសម្រាប់បន្ទាត់៖

while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false)

ចាប់តាំងពីអថេរ j បន្ទាត់មួយចំនួនខាងលើត្រូវបានចាប់ផ្តើមទៅជាសូន្យ ប្រតិបត្តិករ ternary នឹងត្រឡប់តម្លៃ មិនពិត. ដោយសារតែលក្ខខណ្ឌនេះតួនៃរង្វិលជុំនឹងត្រូវបានប្រតិបត្តិតែម្តងប៉ុណ្ណោះ។ វាហាក់ដូចជាខ្ញុំថាបំណែកនៃកូដនេះមិនដំណើរការទាល់តែសោះ ដូចដែលអ្នកសរសេរកម្មវិធីមានបំណង។

ការព្រមាន N6

ការព្រមានរបស់អ្នកវិភាគ៖ V3022 [CWE-571] កន្សោម 'installedPackageVersions.Count != 1' គឺតែងតែជាការពិត។ NugetService.cs 1405

private void remove_nuget_cache_for_package(....)
{
  if (!config.AllVersions && installedPackageVersions.Count > 1)
  {
    const string allVersionsChoice = "All versions";
    if (installedPackageVersions.Count != 1)
    {
      choices.Add(allVersionsChoice);
    }
    ....
  }
  ....
}

មានស្ថានភាពចម្លែកមួយនៅទីនេះ៖ installPackageVersions.Count != ១ដែលនឹងមានជានិច្ច ជាការពិត. ជាញឹកញាប់ការព្រមានបែបនេះបង្ហាញពីកំហុសឡូជីខលនៅក្នុងកូដ ហើយក្នុងករណីផ្សេងទៀតវាគ្រាន់តែបង្ហាញពីការត្រួតពិនិត្យដែលមិនចាំបាច់។

ការព្រមាន N7

ការព្រមានរបស់អ្នកវិភាគ៖ V3001 មានកន្សោមរងដូចគ្នាបេះបិទ 'commandArguments.contains("-apikey")' នៅខាងឆ្វេង និងខាងស្តាំនៃ '||' ប្រតិបត្តិករ។ ArgumentsUtility.cs ៤២

public static bool arguments_contain_sensitive_information(string
 commandArguments)
{
  return commandArguments.contains("-install-arguments-sensitive")
  || commandArguments.contains("-package-parameters-sensitive")
  || commandArguments.contains("apikey ")
  || commandArguments.contains("config ")
  || commandArguments.contains("push ")
  || commandArguments.contains("-p ")
  || commandArguments.contains("-p=")
  || commandArguments.contains("-password")
  || commandArguments.contains("-cp ")
  || commandArguments.contains("-cp=")
  || commandArguments.contains("-certpassword")
  || commandArguments.contains("-k ")
  || commandArguments.contains("-k=")
  || commandArguments.contains("-key ")
  || commandArguments.contains("-key=")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key");
}

អ្នកសរសេរកម្មវិធីដែលសរសេរផ្នែកនៃកូដនេះបានចម្លង និងបិទភ្ជាប់ពីរជួរចុងក្រោយ ហើយភ្លេចកែសម្រួលវា។ ដោយសារតែនេះ អ្នកប្រើប្រាស់ Chocolatey មិនអាចអនុវត្តប៉ារ៉ាម៉ែត្របានទេ។ អាភីឃី វិធីពីរបីទៀត។ ស្រដៀងនឹងប៉ារ៉ាម៉ែត្រខាងលើ ខ្ញុំអាចផ្តល់ជម្រើសដូចខាងក្រោមៈ

commandArguments.contains("-apikey=");
commandArguments.contains("-api-key=");

កំហុសចម្លងបិទភ្ជាប់មានឱកាសខ្ពស់ក្នុងការបង្ហាញឆាប់ៗ ឬក្រោយមកនៅក្នុងគម្រោងណាមួយដែលមានកូដប្រភពច្រើន ហើយឧបករណ៍ដ៏ល្អបំផុតមួយដើម្បីប្រយុទ្ធប្រឆាំងនឹងពួកវាគឺការវិភាគឋិតិវន្ត។

PS ហើយដូចរាល់ដង កំហុសនេះទំនងជាលេចឡើងនៅចុងបញ្ចប់នៃលក្ខខណ្ឌពហុជួរ :) ។ សូមមើលការបោះពុម្ពផ្សាយ "ឥទ្ធិពលចុងក្រោយ".

ការព្រមាន N8

ការព្រមានរបស់អ្នកវិភាគ៖ V3095 [CWE-476] វត្ថុ 'installedPackage' ត្រូវបានប្រើមុនពេលវាត្រូវបានផ្ទៀងផ្ទាត់ប្រឆាំងនឹងការចាត់ទុកជាមោឃៈ។ ពិនិត្យបន្ទាត់៖ 910, 917. NugetService.cs 910

public virtual ConcurrentDictionary<string, PackageResult> get_outdated(....)
{
  ....
  var pinnedPackageResult = outdatedPackages.GetOrAdd(
    packageName, 
    new PackageResult(installedPackage, 
                      _fileSystem.combine_paths(
                        ApplicationParameters.PackagesLocation, 
                        installedPackage.Id)));
  ....
  if (   installedPackage != null
      && !string.IsNullOrWhiteSpace(installedPackage.Version.SpecialVersion) 
      && !config.UpgradeCommand.ExcludePrerelease)
  {
    ....
  }
  ....
}

កំហុសបុរាណ៖ វត្ថុទីមួយ កញ្ចប់ដែលបានដំឡើង ត្រូវបានប្រើហើយបន្ទាប់មកពិនិត្យ ទទេ. ការធ្វើរោគវិនិច្ឆ័យនេះប្រាប់យើងអំពីបញ្ហាមួយក្នុងចំណោមបញ្ហាពីរនៅក្នុងកម្មវិធី៖ ទាំង កញ្ចប់ដែលបានដំឡើង មិនដែលស្មើ ទទេដែលគួរឱ្យសង្ស័យ ហើយបន្ទាប់មក ការត្រួតពិនិត្យគឺមិនអាចខ្វះបាន ឬយើងអាចទទួលបានកំហុសធ្ងន់ធ្ងរនៅក្នុងកូដ ដែលជាការប៉ុនប៉ងចូលប្រើឯកសារយោងទុកជាមោឃៈ។

សេចក្តីសន្និដ្ឋាន

ដូច្នេះយើងបានបោះជំហានតូចមួយទៀត - ឥឡូវនេះការប្រើប្រាស់ PVS-Studio កាន់តែងាយស្រួល និងកាន់តែងាយស្រួល។ ខ្ញុំក៏ចង់និយាយដែរថា Chocolatey គឺជាកម្មវិធីគ្រប់គ្រងកញ្ចប់ដ៏ល្អដែលមានកំហុសមួយចំនួនតូចនៅក្នុងកូដ ដែលអាចមានតិចជាងនេះនៅពេលប្រើ PVS-Studio ។

យើងអញ្ជើញអ្នក។ ទាញយក ហើយសាកល្បង PVS-Studio ។ ការប្រើប្រាស់ជាទៀងទាត់នូវឧបករណ៍វិភាគឋិតិវន្តនឹងធ្វើអោយប្រសើរឡើងនូវគុណភាព និងភាពជឿជាក់នៃកូដដែលក្រុមរបស់អ្នកបង្កើត និងជួយការពារមនុស្សជាច្រើន ភាពងាយរងគ្រោះសូន្យថ្ងៃ.

PS

មុនពេលបោះពុម្ព យើងបានផ្ញើអត្ថបទទៅអ្នកអភិវឌ្ឍន៍ Chocolatey ហើយពួកគេបានទទួលវាយ៉ាងល្អ។ យើង​មិន​បាន​រក​ឃើញ​អ្វី​ដែល​សំខាន់​នោះ​ទេ ប៉ុន្តែ​ជា​ឧទាហរណ៍ ពួកគេ​ចូលចិត្ត​កំហុស​ដែល​យើង​បាន​រក​ឃើញ​ទាក់ទង​នឹង​គន្លឹះ "api-key"។

ប្រសិនបើអ្នកចង់ចែករំលែកអត្ថបទនេះជាមួយទស្សនិកជនដែលនិយាយភាសាអង់គ្លេស សូមប្រើតំណបកប្រែ៖ Vladislav Stolyarov ។ PVS-Studio ឥឡូវនេះនៅក្នុង Chocolatey: ពិនិត្យសូកូឡានៅក្រោម Azure DevOps.

ប្រភព: www.habr.com