🥇PVS-Studio는 이제 Chocolatey에 있습니다. Azure DevOps

우리는 PVS-Studio를 더욱 편리하게 사용할 수 있도록 계속해서 노력하고 있습니다. 이제 Windows용 패키지 관리자인 Chocolatey에서 분석기를 사용할 수 있습니다. 우리는 이것이 특히 클라우드 서비스에서 PVS-Studio의 배포를 촉진할 것이라고 믿습니다. 멀리 가지 않기 위해 동일한 Chocolatey의 소스 코드를 확인해 보겠습니다. Azure DevOps는 CI 시스템 역할을 합니다.

다음은 클라우드 시스템과의 통합 주제에 관한 다른 기사 목록입니다.

Azure DevOps와의 통합에 관한 첫 번째 기사에 주의를 기울이는 것이 좋습니다. 이 경우 중복되지 않도록 일부 사항이 생략되기 때문입니다.

그래서 이 글의 주인공은 다음과 같습니다.

PVS-스튜디오 C, C++, C# 및 Java로 작성된 프로그램의 오류와 잠재적인 취약점을 식별하도록 설계된 정적 코드 분석 도구입니다. 64비트 Windows, Linux 및 macOS 시스템에서 실행되며 32비트, 64비트 및 임베디드 ARM 플랫폼용으로 설계된 코드를 분석할 수 있습니다. 프로젝트를 확인하기 위해 정적 코드 분석을 처음 시도하는 경우 다음 사항을 숙지하는 것이 좋습니다. 기사 가장 흥미로운 PVS-Studio 경고를 빠르게 보고 이 도구의 기능을 평가하는 방법에 대해 설명합니다.

애저 데브옵스 — 전체 개발 프로세스를 공동으로 다루는 일련의 클라우드 서비스입니다. 이 플랫폼에는 Azure Pipelines, Azure Boards, Azure Artifacts, Azure Repos, Azure Test Plans와 같은 도구가 포함되어 있어 소프트웨어 생성 프로세스 속도를 높이고 품질을 향상시킬 수 있습니다.

초콜릿 Windows용 오픈 소스 패키지 관리자입니다. 이 프로젝트의 목표는 Windows 운영 체제의 설치부터 업데이트 및 제거까지 전체 소프트웨어 수명주기를 자동화하는 것입니다.

Chocolatey 사용에 대해

여기에서 패키지 관리자 자체를 설치하는 방법을 볼 수 있습니다. 링크. 분석기 설치에 대한 전체 설명서는 다음에서 확인할 수 있습니다. 링크 Chocolatey 패키지 관리자를 사용하여 설치 섹션을 참조하세요. 거기에서 몇 가지 요점을 간략하게 반복하겠습니다.

최신 버전의 분석기를 설치하는 명령:

choco install pvs-studio

PVS-Studio 패키지의 특정 버전을 설치하는 명령:

choco install pvs-studio --version=7.05.35617.2075

기본적으로 분석기의 핵심인 Core 구성 요소만 설치됩니다. 다른 모든 플래그(Standalone, JavaCore, IDEA, MSVS2010, MSVS2012, MSVS2013, MSVS2015, MSVS2017, MSVS2019)는 --package-parameters를 사용하여 전달할 수 있습니다.

Visual Studio 2019용 플러그인을 사용하여 분석기를 설치하는 명령의 예:

choco install pvs-studio --package-parameters="'/MSVS2019'"

이제 Azure DevOps에서 분석기를 편리하게 사용하는 예를 살펴보겠습니다.

조정

계정 등록, 빌드 파이프라인 생성, 계정을 GitHub 저장소에 있는 프로젝트와 동기화와 같은 문제에 대한 별도의 섹션이 있다는 점을 상기시켜 드리겠습니다. 기사. 구성 파일을 작성하는 것으로 설정이 즉시 시작됩니다.

먼저 시작 트리거를 설정해 보겠습니다. 이는 변경 사항이 있을 때만 시작함을 나타냅니다. 석사 나뭇가지:

trigger:
- master

다음으로 가상 머신을 선택해야 합니다. 현재는 Windows Server 2019 및 Visual Studio 2019를 사용하는 Microsoft 호스팅 에이전트입니다.

pool:
  vmImage: 'windows-latest'

구성 파일의 본문(블록 단계). 가상 머신에 임의의 소프트웨어를 설치할 수 없다는 사실에도 불구하고 저는 Docker 컨테이너를 추가하지 않았습니다. Azure DevOps의 확장으로 Chocolatey를 추가할 수 있습니다. 이를 위해 다음으로 가보겠습니다. 링크. 딸깍 하는 소리 공짜로 얻다. 다음으로, 이미 인증을 받았다면 계정을 선택하고, 그렇지 않은 경우 인증 후 동일한 작업을 수행하세요.

여기서 확장을 추가할 위치를 선택하고 버튼을 클릭해야 합니다. 설치.

성공적으로 설치가 완료되면 다음을 클릭하세요. 조직으로 진행:

이제 창에서 Chocolatey 작업에 대한 템플릿을 볼 수 있습니다. 작업 구성 파일을 편집할 때 Azure-파이프라인.yml:

Chocolatey를 클릭하고 필드 목록을 확인하세요.

여기서는 선택해야 합니다. 설치 현장에서 팀과 함께. 안에 Nuspec 파일 이름 필요한 패키지의 이름(pvs-studio)을 나타냅니다. 버전을 지정하지 않으면 우리에게 딱 맞는 최신 버전이 설치됩니다. 버튼을 눌러보자 더하다 구성 파일에서 생성된 작업을 볼 수 있습니다.

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

다음으로 파일의 주요 부분으로 이동하겠습니다.

- task: CmdLine@2
  inputs:
    script:

이제 분석기 라이센스가 포함된 파일을 생성해야 합니다. 여기 PVS이름 и PVSKEY – 설정에서 값을 지정하는 변수의 이름. PVS-Studio 로그인 및 라이센스 키가 저장됩니다. 값을 설정하려면 메뉴를 엽니다. 변수->새 변수. 변수를 만들어보자 PVS이름 로그인 및 PVSKEY 분석기 키의 경우. 확인란을 선택하는 것을 잊지 마세요. 이 값을 비밀로 유지하세요 에 PVSKEY. 명령 코드:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" credentials 
–u $(PVSNAME) –n $(PVSKEY)

저장소에 있는 bat 파일을 사용하여 프로젝트를 빌드해 보겠습니다.

сall build.bat

분석기 결과가 포함된 파일이 저장될 폴더를 만들어 보겠습니다.

сall mkdir PVSTestResults

프로젝트 분석을 시작해 보겠습니다.

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
–t .srcchocolatey.sln –o .PVSTestResultsChoco.plog

PlogСonverter 유틸리티를 사용하여 보고서를 html 형식으로 변환합니다.

сall "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
–t html –o PVSTestResults .PVSTestResultsChoco.plog

이제 보고서를 업로드할 수 있도록 작업을 생성해야 합니다.

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

전체 구성 파일은 다음과 같습니다.

trigger:
- master

pool:
  vmImage: 'windows-latest'

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

- task: CmdLine@2
  inputs:
    script: |
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      credentials –u $(PVSNAME) –n $(PVSKEY)
      call build.bat
      call mkdir PVSTestResults
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      –t .srcchocolatey.sln –o .PVSTestResultsChoco.plog
      call "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
      –t html –o .PVSTestResults .PVSTestResultsChoco.plog

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

클릭해보자 저장->저장->실행 작업을 실행합니다. 작업 탭으로 이동하여 보고서를 다운로드해 보겠습니다.

Chocolatey 프로젝트에는 37615줄의 C# 코드만 포함되어 있습니다. 발견된 오류 중 일부를 살펴보겠습니다.

시험 결과

경고 N1

분석기 경고: V3005 'Provider' 변수는 자신에게 할당됩니다. CrytpoHashProviderSpecs.cs 38

public abstract class CrytpoHashProviderSpecsBase : TinySpec
{
  ....
  protected CryptoHashProvider Provider;
  ....
  public override void Context()
  {
    Provider = Provider = new CryptoHashProvider(FileSystem.Object);
  }
}

분석기가 변수 자체에 대한 할당을 감지했는데 이는 의미가 없습니다. 대부분의 경우 이러한 변수 중 하나 대신 다른 변수가 있어야 합니다. 글쎄, 아니면 이것은 오타이므로 추가 할당은 간단히 제거할 수 있습니다.

경고 N2

분석기 경고: V3093 [CWE-480] '&' 연산자는 두 피연산자를 모두 평가합니다. 아마도 단락 '&&' 연산자를 대신 사용해야 할 것입니다. Platform.cs 64

public static PlatformType get_platform()
{
  switch (Environment.OSVersion.Platform)
  {
    case PlatformID.MacOSX:
    {
      ....
    }
    case PlatformID.Unix:
    if(file_system.directory_exists("/Applications")
      & file_system.directory_exists("/System")
      & file_system.directory_exists("/Users")
      & file_system.directory_exists("/Volumes"))
      {
        return PlatformType.Mac;
      }
        else
          return PlatformType.Linux;
    default:
      return PlatformType.Windows;
  }
}

연산자 차이 & 운영자로부터 && 표현식의 왼쪽이 다음과 같다면 그릇된, 그러면 오른쪽이 계속 계산되며, 이 경우 불필요한 메소드 호출을 의미합니다. system.directory_exists.

고려된 부분에서 이것은 사소한 결함입니다. 예, 이 조건은 & 연산자를 && 연산자로 대체하여 최적화할 수 있지만 실제적인 관점에서 이는 아무 영향도 미치지 않습니다. 그러나 다른 경우에는 &와 && 사이의 혼동으로 인해 표현식의 오른쪽이 올바르지 않거나 유효하지 않은 값으로 처리될 때 심각한 문제가 발생할 수 있습니다. 예를 들어, 오류 컬렉션에서 V3093 진단을 사용하여 식별됨, 이런 경우가 있습니다.

if ((k < nct) & (s[k] != 0.0))

지수라고 해도 k 올바르지 않으면 배열 요소에 액세스하는 데 사용됩니다. 결과적으로 예외가 발생합니다. IndexOutOfRangeException.

경고 N3, N4

분석기 경고: V3022 [CWE-571] 'shortPrompt' 표현은 항상 참입니다. InteractivePrompt.cs 101
분석기 경고: V3022 [CWE-571] 'shortPrompt' 표현은 항상 참입니다. InteractivePrompt.cs 105

public static string 
prompt_for_confirmation(.... bool shortPrompt = false, ....)
{
  ....
  if (shortPrompt)
  {
    var choicePrompt = choice.is_equal_to(defaultChoice) //1
    ?
    shortPrompt //2
    ?
    "[[{0}]{1}]".format_with(choice.Substring(0, 1).ToUpperInvariant(), //3
    choice.Substring(1,choice.Length - 1))
    :
    "[{0}]".format_with(choice.ToUpperInvariant()) //0
    : 
    shortPrompt //4
    ? 
    "[{0}]{1}".format_with(choice.Substring(0,1).ToUpperInvariant(), //5
    choice.Substring(1,choice.Length - 1)) 
    :
    choice; //0
    ....
  }
  ....
}

이 경우 삼항 연산자의 연산 뒤에는 이상한 논리가 있습니다. 좀 더 자세히 살펴보겠습니다. 1번으로 표시한 조건이 충족되면 조건 2로 넘어갑니다. 참된, 이는 3행이 실행됨을 의미하며, 조건 1이 거짓으로 판명되면 4번 행으로 이동합니다. 참된, 이는 라인 5가 실행됨을 의미하므로 주석 0으로 표시된 조건은 결코 충족되지 않으며 이는 프로그래머가 기대한 연산 논리와 정확히 일치하지 않을 수 있습니다.

경고 N5

분석기 경고: V3123 [CWE-783] 아마도 '?:' 연산자가 예상했던 것과 다른 방식으로 작동할 수 있습니다. 해당 조건의 다른 연산자보다 우선순위가 낮습니다. 옵션.cs 1019

private static string GetArgumentName (...., string description)
{
  string[] nameStart;
  if (maxIndex == 1)
  {
    nameStart = new string[]{"{0:", "{"};
  }
  else
  {
    nameStart = new string[]{"{" + index + ":"};
  }
  for (int i = 0; i < nameStart.Length; ++i) 
  {
    int start, j = 0;
    do 
    {
      start = description.IndexOf (nameStart [i], j);
    } 
    while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false);
    ....
    return maxIndex == 1 ? "VALUE" : "VALUE" + (index + 1);
  }
}

진단은 다음 라인에 대해 작동했습니다.

while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false)

변수부터 j 위의 몇 줄은 XNUMX으로 초기화되고 삼항 연산자는 값을 반환합니다. 그릇된. 이 조건으로 인해 루프 본문은 한 번만 실행됩니다. 제가 보기엔 이 코드 조각은 프로그래머가 의도한 대로 전혀 작동하지 않는 것 같습니다.

경고 N6

분석기 경고: V3022 [CWE-571] 'installedPackageVersions.Count != 1' 표현식은 항상 참입니다. NugetService.cs 1405

private void remove_nuget_cache_for_package(....)
{
  if (!config.AllVersions && installedPackageVersions.Count > 1)
  {
    const string allVersionsChoice = "All versions";
    if (installedPackageVersions.Count != 1)
    {
      choices.Add(allVersionsChoice);
    }
    ....
  }
  ....
}

여기에는 이상한 중첩 조건이 있습니다. installPackageVersions.Count != 1항상 그럴 것이다 참된. 이러한 경고는 코드의 논리적 오류를 나타내는 경우가 많으며, 다른 경우에는 단순히 중복 검사를 나타냅니다.

경고 N7

분석기 경고: V3001 '||' 왼쪽과 오른쪽에 동일한 하위 표현식 'commandArguments.contains("-apikey")'가 있습니다. 운영자. ArgumentsUtility.cs 42

public static bool arguments_contain_sensitive_information(string
 commandArguments)
{
  return commandArguments.contains("-install-arguments-sensitive")
  || commandArguments.contains("-package-parameters-sensitive")
  || commandArguments.contains("apikey ")
  || commandArguments.contains("config ")
  || commandArguments.contains("push ")
  || commandArguments.contains("-p ")
  || commandArguments.contains("-p=")
  || commandArguments.contains("-password")
  || commandArguments.contains("-cp ")
  || commandArguments.contains("-cp=")
  || commandArguments.contains("-certpassword")
  || commandArguments.contains("-k ")
  || commandArguments.contains("-k=")
  || commandArguments.contains("-key ")
  || commandArguments.contains("-key=")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key");
}

이 코드 섹션을 작성한 프로그래머는 마지막 두 줄을 복사하여 붙여넣고 편집하는 것을 잊어버렸습니다. 이로 인해 Chocolatey 사용자는 매개변수를 적용할 수 없었습니다. 아피키 몇 가지 방법이 더 있습니다. 위의 매개변수와 유사하게 다음 옵션을 제공할 수 있습니다.

commandArguments.contains("-apikey=");
commandArguments.contains("-api-key=");

복사-붙여넣기 오류는 소스 코드가 많은 프로젝트에서 조만간 나타날 가능성이 높으며, 이를 방지하는 가장 좋은 도구 중 하나는 정적 분석입니다.

PS 그리고 항상 그렇듯이 이 오류는 여러 줄로 구성된 조건의 끝에 나타나는 경향이 있습니다 :). 출판물 참조 "마지막 줄 효과".

경고 N8

분석기 경고: V3095 [CWE-476] 'installedPackage' 개체가 null에 대해 확인되기 전에 사용되었습니다. 줄 확인: 910, 917. NugetService.cs 910

public virtual ConcurrentDictionary<string, PackageResult> get_outdated(....)
{
  ....
  var pinnedPackageResult = outdatedPackages.GetOrAdd(
    packageName, 
    new PackageResult(installedPackage, 
                      _fileSystem.combine_paths(
                        ApplicationParameters.PackagesLocation, 
                        installedPackage.Id)));
  ....
  if (   installedPackage != null
      && !string.IsNullOrWhiteSpace(installedPackage.Version.SpecialVersion) 
      && !config.UpgradeCommand.ExcludePrerelease)
  {
    ....
  }
  ....
}

전형적인 실수: 객체 우선 설치된패키지 사용된 후 확인됩니다. null로. 이 진단은 프로그램의 두 가지 문제 중 하나에 대해 알려줍니다. 설치된패키지 결코 같지 않다 null로, 이는 의심스럽고 검사가 중복되거나 잠재적으로 코드에서 null 참조에 액세스하려는 시도로 인해 심각한 오류가 발생할 수 있습니다.

결론

그래서 우리는 또 다른 작은 조치를 취했습니다. 이제 PVS-Studio를 사용하는 것이 훨씬 더 쉽고 편리해졌습니다. 또한 Chocolatey는 코드 오류가 적은 훌륭한 패키지 관리자라고 말하고 싶습니다. PVS-Studio를 사용하면 오류가 훨씬 줄어들 수도 있습니다.

우리는 초대 다운로드 PVS-Studio를 사용해 보세요. 정적 분석기를 정기적으로 사용하면 팀이 개발하는 코드의 품질과 안정성이 향상되고 많은 문제를 예방하는 데 도움이 됩니다. 제로데이 취약점.

PS

출판하기 전에 우리는 Chocolatey 개발자들에게 기사를 보냈고 그들은 좋은 반응을 얻었습니다. 우리는 중요한 것을 찾지 못했지만 예를 들어 "api-key" 키와 관련하여 발견한 버그를 좋아했습니다.

이 기사를 영어권 청중과 공유하려면 번역 링크인 Vladislav Stolyarov를 사용하십시오. PVS-Studio는 이제 Chocolatey에 있습니다: Azure DevOps에서 Chocolatey 확인.

출처 : habr.com

PVS-Studio는 이제 Chocolatey에 있습니다. Azure DevOps에서 Chocolatey를 확인하세요.

Chocolatey 사용에 대해

조정

시험 결과

결론

PS

코멘트를 추가 답장을 취소