PVS-Studio ດຽວນີ້ຢູ່ໃນ Chocolatey: ກວດເບິ່ງ Chocolatey ຈາກພາຍໃຕ້ Azure DevOps

ພວກເຮົາສືບຕໍ່ເຮັດໃຫ້ການນໍາໃຊ້ PVS-Studio ສະດວກກວ່າ. ດຽວນີ້ເຄື່ອງວິເຄາະຂອງພວກເຮົາມີໃຫ້ຢູ່ໃນ Chocolatey, ຜູ້ຈັດການຊຸດຂອງ Windows. ພວກເຮົາເຊື່ອວ່ານີ້ຈະສ້າງຄວາມສະດວກໃນການນຳໃຊ້ PVS-Studio, ໂດຍສະເພາະ, ໃນການບໍລິການຄລາວ. ເພື່ອບໍ່ໃຫ້ໄປໄກ, ໃຫ້ກວດເບິ່ງລະຫັດແຫຼ່ງຂອງ Chocolatey ດຽວກັນ. Azure DevOps ຈະເຮັດຫນ້າທີ່ເປັນລະບົບ CI.

ນີ້ແມ່ນບັນຊີລາຍຊື່ຂອງບົດຄວາມອື່ນໆຂອງພວກເຮົາກ່ຽວກັບຫົວຂໍ້ຂອງການເຊື່ອມໂຍງກັບລະບົບຟັງ:

• PVS-Studio ໄປສູ່ຄລາວ: Azure DevOps
• PVS-Studio ໄປສູ່ຄລາວ: Travis CI
• PVS-Studio ໄປຫາຄລາວ: CircleCI
• PVS-Studio ໄປຫາຄລາວ: GitLab CI/CD

ຂ້າພະເຈົ້າແນະນໍາໃຫ້ທ່ານເອົາໃຈໃສ່ກັບບົດຄວາມທໍາອິດກ່ຽວກັບການເຊື່ອມໂຍງກັບ Azure DevOps, ເພາະວ່າໃນກໍລະນີນີ້ບາງຈຸດຖືກລະເວັ້ນເພື່ອບໍ່ໃຫ້ຊ້ໍາກັນ.

ດັ່ງນັ້ນ, ວິລະຊົນຂອງບົດຄວາມນີ້:

PVS Studio ເປັນເຄື່ອງມືການວິເຄາະລະຫັດສະຖິດທີ່ອອກແບບມາເພື່ອລະບຸຄວາມຜິດພາດ ແລະ ຊ່ອງໂຫວ່ທີ່ອາດຈະເກີດຂຶ້ນໃນໂປຣແກຣມທີ່ຂຽນໃນ C, C++, C# ແລະ Java. ແລ່ນຢູ່ໃນລະບົບ 64-bit Windows, Linux, ແລະ macOS, ແລະສາມາດວິເຄາະລະຫັດທີ່ອອກແບບມາສໍາລັບ 32-bit, 64-bit, ແລະ embedded ARM platforms. ຖ້ານີ້ແມ່ນຄັ້ງທໍາອິດຂອງທ່ານພະຍາຍາມການວິເຄາະລະຫັດຄົງທີ່ເພື່ອກວດເບິ່ງໂຄງການຂອງທ່ານ, ພວກເຮົາແນະນໍາໃຫ້ທ່ານຄຸ້ນເຄີຍກັບຕົວທ່ານເອງ ບົດຄວາມ ກ່ຽວກັບວິທີການເບິ່ງຄໍາເຕືອນ PVS-Studio ທີ່ຫນ້າສົນໃຈທີ່ສຸດຢ່າງໄວວາແລະປະເມີນຄວາມສາມາດຂອງເຄື່ອງມືນີ້.

Azure DevOps — ຊຸດການບໍລິການຄລາວທີ່ຮ່ວມກັນປົກຄຸມຂະບວນການພັດທະນາທັງໝົດ. ເວທີນີ້ປະກອບມີເຄື່ອງມືເຊັ່ນ: Azure Pipelines, Azure Boards, Azure Artifacts, Azure Repos, Azure Test Plans, ເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດເລັ່ງຂະບວນການສ້າງຊອບແວແລະປັບປຸງຄຸນນະພາບຂອງມັນ.

Chocolatey ເປັນຜູ້ຈັດການແພັກເກັດແຫຼ່ງເປີດສໍາລັບ Windows. ເປົ້າ​ຫມາຍ​ຂອງ​ໂຄງ​ການ​ແມ່ນ​ເພື່ອ​ອັດ​ຕະ​ໂນ​ມັດ​ວົງ​ຈອນ​ຊອບ​ແວ​ທັງ​ຫມົດ​ຈາກ​ການ​ຕິດ​ຕັ້ງ​ເຖິງ​ການ​ປັບ​ປຸງ​ແລະ​ຖອນ​ການ​ຕິດ​ຕັ້ງ​ໃນ​ລະ​ບົບ​ປະ​ຕິ​ບັດ​ການ Windows​.

ກ່ຽວກັບການໃຊ້ Chocolatey

ທ່ານ​ສາ​ມາດ​ເບິ່ງ​ວິ​ທີ​ການ​ຕິດ​ຕັ້ງ​ຕົວ​ຈັດ​ການ​ຊຸດ​ຕົວ​ຂອງ​ມັນ​ເອງ​ຢູ່​ທີ່​ນີ້​ ການເຊື່ອມຕໍ່. ເອກະສານຄົບຖ້ວນສໍາລັບການຕິດຕັ້ງເຄື່ອງວິເຄາະແມ່ນມີຢູ່ ການເຊື່ອມຕໍ່ ເບິ່ງການຕິດຕັ້ງໂດຍໃຊ້ສ່ວນຜູ້ຈັດການຊຸດ Chocolatey. ຂ້ອຍຈະເວົ້າຄືນບາງຈຸດຈາກບ່ອນນັ້ນສັ້ນໆ.

ຄຳສັ່ງຕິດຕັ້ງເຄື່ອງວິເຄາະລຸ້ນຫຼ້າສຸດ:

choco install pvs-studio

ຄໍາສັ່ງການຕິດຕັ້ງສະບັບສະເພາະຂອງຊຸດ PVS-Studio:

choco install pvs-studio --version=7.05.35617.2075

ໂດຍຄ່າເລີ່ມຕົ້ນ, ມີພຽງແຕ່ແກນຂອງການວິເຄາະ, ອົງປະກອບຫຼັກ, ໄດ້ຖືກຕິດຕັ້ງ. ທຸງອື່ນໆທັງໝົດ ( Standalone, JavaCore, IDEA, MSVS2010, MSVS2012, MSVS2013, MSVS2015, MSVS2017, MSVS2019) ສາມາດຜ່ານໄດ້ໂດຍໃຊ້ --package-parameters.

ຕົວຢ່າງຂອງຄໍາສັ່ງທີ່ຈະຕິດຕັ້ງເຄື່ອງວິເຄາະທີ່ມີ plugin ສໍາລັບ Visual Studio 2019:

choco install pvs-studio --package-parameters="'/MSVS2019'"

ຕອນນີ້ໃຫ້ເບິ່ງຕົວຢ່າງຂອງການນໍາໃຊ້ທີ່ສະດວກຂອງເຄື່ອງວິເຄາະພາຍໃຕ້ Azure DevOps.

ການປັບ

ຂ້າພະເຈົ້າຂໍເຕືອນທ່ານວ່າມີພາກແຍກຕ່າງຫາກກ່ຽວກັບບັນຫາເຊັ່ນການລົງທະບຽນບັນຊີ, ການສ້າງ Pipeline ແລະ synchronizing ບັນຊີຂອງທ່ານກັບໂຄງການທີ່ຕັ້ງຢູ່ໃນບ່ອນເກັບມ້ຽນ GitHub. ບົດຄວາມ. ການຕັ້ງຄ່າຂອງພວກເຮົາຈະເລີ່ມຕົ້ນໃນທັນທີດ້ວຍການຂຽນໄຟລ໌ການຕັ້ງຄ່າ.

ກ່ອນອື່ນ, ໃຫ້ຕັ້ງຄ່າຕົວກະຕຸ້ນການເປີດຕົວ, ສະແດງໃຫ້ເຫັນວ່າພວກເຮົາເປີດຕົວພຽງແຕ່ສໍາລັບການປ່ຽນແປງໃນ ຕົ້ນສະບັບ ສາຂາ:

trigger:
- master

ຕໍ່ໄປ, ພວກເຮົາຈໍາເປັນຕ້ອງເລືອກເຄື່ອງ virtual. ສໍາລັບຕອນນີ້ມັນຈະເປັນຕົວແທນ Microsoft-hosted ກັບ Windows Server 2019 ແລະ Visual Studio 2019:

pool:
  vmImage: 'windows-latest'

ໃຫ້ຍ້າຍໄປຫາເນື້ອໃນຂອງໄຟລ໌ການຕັ້ງຄ່າ (block ຂັ້ນຕອນ). ເຖິງວ່າຈະມີຄວາມຈິງທີ່ວ່າທ່ານບໍ່ສາມາດຕິດຕັ້ງຊອບແວທີ່ຕົນເອງມັກເຂົ້າໄປໃນເຄື່ອງ virtual, ຂ້ອຍບໍ່ໄດ້ເພີ່ມ Docker container. ພວກເຮົາສາມາດເພີ່ມ Chocolatey ເປັນສ່ວນຂະຫຍາຍສໍາລັບ Azure DevOps. ເພື່ອເຮັດສິ່ງນີ້, ໃຫ້ໄປ ການເຊື່ອມຕໍ່. ກົດ ໄດ້ຮັບຟຣີ. ຕໍ່ໄປ, ຖ້າທ່ານໄດ້ຮັບອະນຸຍາດແລ້ວ, ພຽງແຕ່ເລືອກບັນຊີຂອງທ່ານ, ແລະຖ້າບໍ່ແມ່ນ, ຫຼັງຈາກນັ້ນໃຫ້ເຮັດສິ່ງດຽວກັນຫຼັງຈາກການອະນຸຍາດ.

ທີ່ນີ້ທ່ານຈໍາເປັນຕ້ອງເລືອກບ່ອນທີ່ພວກເຮົາຈະເພີ່ມການຂະຫຍາຍແລະຄລິກໃສ່ປຸ່ມ ຕິດຕັ້ງ.

ຫຼັງຈາກການຕິດຕັ້ງສົບຜົນສໍາເລັດ, ໃຫ້ຄລິກໃສ່ ດໍາເນີນການກັບອົງການຈັດຕັ້ງ:

ຕອນນີ້ທ່ານສາມາດເບິ່ງແມ່ແບບສໍາລັບວຽກງານ Chocolatey ຢູ່ໃນປ່ອງຢ້ຽມ ວຽກງານ ເມື່ອແກ້ໄຂໄຟລ໌ການຕັ້ງຄ່າ azure-pipelines.yml:

ໃຫ້ຄລິກໃສ່ Chocolatey ແລະເບິ່ງບັນຊີລາຍຊື່ຂອງຊ່ອງຂໍ້ມູນ:

ທີ່ນີ້ພວກເຮົາຈໍາເປັນຕ້ອງເລືອກ ການຕິດຕັ້ງ ຢູ່ໃນສະຫນາມກັບທີມງານ. IN ຊື່ໄຟລ໌ Nuspec ຊີ້ບອກຊື່ຂອງຊຸດທີ່ຕ້ອງການ - pvs-studio. ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ບໍ່​ໄດ້​ກໍາ​ນົດ​ສະ​ບັບ​, ຫລ້າ​ສຸດ​ຈະ​ໄດ້​ຮັບ​ການ​ຕິດ​ຕັ້ງ​, ທີ່​ເຫມາະ​ສົມ​ກັບ​ພວກ​ເຮົາ​ຢ່າງ​ສົມ​ບູນ​. ໃຫ້ກົດປຸ່ມ ເພີ່ມ ແລະພວກເຮົາຈະເຫັນວຽກງານທີ່ສ້າງຂຶ້ນໃນໄຟລ໌ການຕັ້ງຄ່າ.

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

ຕໍ່ໄປ, ໃຫ້ກ້າວໄປສູ່ສ່ວນຕົ້ນຕໍຂອງໄຟລ໌ຂອງພວກເຮົາ:

- task: CmdLine@2
  inputs:
    script: 

ໃນປັດຈຸບັນພວກເຮົາຈໍາເປັນຕ້ອງສ້າງໄຟລ໌ທີ່ມີໃບອະນຸຍາດການວິເຄາະ. ທີ່ນີ້ PVSNAME и PVSKEY – ຊື່​ຂອງ​ຕົວ​ແປ​ທີ່​ມີ​ຄ່າ​ທີ່​ພວກ​ເຮົາ​ລະ​ບຸ​ໄວ້​ໃນ​ການ​ຕັ້ງ​ຄ່າ​. ພວກເຂົາຈະເກັບຮັກສາລະຫັດເຂົ້າສູ່ລະບົບ PVS-Studio ແລະລະຫັດໃບອະນຸຍາດ. ເພື່ອກໍານົດຄ່າຂອງເຂົາເຈົ້າ, ເປີດເມນູ ຕົວແປ->ຕົວແປໃໝ່. ມາສ້າງຕົວແປ PVSNAME ສໍາລັບການເຂົ້າສູ່ລະບົບແລະ PVSKEY ສໍາລັບລະຫັດການວິເຄາະ. ຢ່າລືມກວດເບິ່ງກ່ອງ ຮັກສາມູນຄ່ານີ້ເປັນຄວາມລັບ ການ PVSKEY. ລະຫັດຄໍາສັ່ງ:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" credentials 
–u $(PVSNAME) –n $(PVSKEY)

ໃຫ້ສ້າງໂຄງການໂດຍໃຊ້ໄຟລ໌ bat ທີ່ຕັ້ງຢູ່ໃນ repository:

сall build.bat

ມາສ້າງໂຟນເດີທີ່ໄຟລ໌ທີ່ມີຜົນຂອງການວິເຄາະຈະຖືກເກັບໄວ້:

сall mkdir PVSTestResults

ໃຫ້ເລີ່ມຕົ້ນການວິເຄາະໂຄງການ:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
–t .srcchocolatey.sln –o .PVSTestResultsChoco.plog 

ພວກເຮົາປ່ຽນບົດລາຍງານຂອງພວກເຮົາເປັນຮູບແບບ html ໂດຍໃຊ້ປະໂຫຍດ PlogСonverter:

сall "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
–t html –o PVSTestResults .PVSTestResultsChoco.plog

ໃນປັດຈຸບັນທ່ານຈໍາເປັນຕ້ອງສ້າງຫນ້າວຽກເພື່ອໃຫ້ທ່ານສາມາດອັບໂຫລດບົດລາຍງານໄດ້.

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

ໄຟລ໌ການຕັ້ງຄ່າທີ່ສົມບູນເບິ່ງຄືດັ່ງນີ້:

trigger:
- master

pool:
  vmImage: 'windows-latest'

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

- task: CmdLine@2
  inputs:
    script: |
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      credentials –u $(PVSNAME) –n $(PVSKEY)
      call build.bat
      call mkdir PVSTestResults
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      –t .srcchocolatey.sln –o .PVSTestResultsChoco.plog
      call "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
      –t html –o .PVSTestResults .PVSTestResultsChoco.plog

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

ໃຫ້ຄລິກ Save->Save->Run ເພື່ອດໍາເນີນການວຽກງານ. ໃຫ້ດາວໂຫຼດບົດລາຍງານໂດຍການໄປທີ່ແຖບໜ້າວຽກ.

ໂຄງການ Chocolatey ມີພຽງ 37615 ເສັ້ນຂອງລະຫັດ C#. ຂໍໃຫ້ເບິ່ງບາງຂໍ້ຜິດພາດທີ່ພົບ.

ຜົນການທົດສອບ

ຄຳເຕືອນ N1

ຄໍາ​ເຕືອນ​ນັກ​ວິ​ເຄາະ​: V3005 ຕົວແປ 'ຜູ້ໃຫ້ບໍລິການ' ຖືກມອບໝາຍໃຫ້ກັບຕົວມັນເອງ. CrytpoHashProviderSpecs.cs 38

public abstract class CrytpoHashProviderSpecsBase : TinySpec
{
  ....
  protected CryptoHashProvider Provider;
  ....
  public override void Context()
  {
    Provider = Provider = new CryptoHashProvider(FileSystem.Object);
  }
}

ນັກວິເຄາະໄດ້ກວດພົບການມອບຫມາຍຂອງຕົວແປໃຫ້ກັບຕົວມັນເອງ, ເຊິ່ງບໍ່ມີຄວາມຫມາຍ. ສ່ວນຫຼາຍອາດຈະ, ແທນຫນຶ່ງຂອງຕົວແປເຫຼົ່ານີ້ຄວນຈະມີບາງອັນອື່ນ. ດີ, ຫຼືນີ້ແມ່ນການພິມຜິດ, ແລະການມອບຫມາຍພິເສດສາມາດຖືກໂຍກຍ້າຍອອກ.

ຄຳເຕືອນ N2

ຄໍາ​ເຕືອນ​ນັກ​ວິ​ເຄາະ​: V3093 [CWE-480] ຕົວປະຕິບັດການ '&' ປະເມີນທັງສອງ operand. ບາງທີຄວນໃຊ້ຕົວປະຕິບັດການ '&&' ວົງຈອນສັ້ນແທນ. Platform.cs 64

public static PlatformType get_platform()
{
  switch (Environment.OSVersion.Platform)
  {
    case PlatformID.MacOSX:
    {
      ....
    }
    case PlatformID.Unix:
    if(file_system.directory_exists("/Applications")
      & file_system.directory_exists("/System")
      & file_system.directory_exists("/Users")
      & file_system.directory_exists("/Volumes"))
      {
        return PlatformType.Mac;
      }
        else
          return PlatformType.Linux;
    default:
      return PlatformType.Windows;
  }
}

ຄວາມແຕກຕ່າງຂອງຜູ້ປະຕິບັດງານ & ຈາກຜູ້ປະກອບການ && ແມ່ນ​ວ່າ​ຖ້າ​ຫາກ​ວ່າ​ເບື້ອງ​ຊ້າຍ​ຂອງ​ການ​ສະ​ແດງ​ອອກ​ແມ່ນ​ ທີ່ບໍ່ຖືກຕ້ອງ, ຫຼັງຈາກນັ້ນດ້ານຂວາຈະຍັງຖືກຄິດໄລ່, ເຊິ່ງໃນກໍລະນີນີ້ຫມາຍເຖິງການໂທຫາວິທີການທີ່ບໍ່ຈໍາເປັນ system.directory_ມີຢູ່.

ໃນຊິ້ນສ່ວນທີ່ພິຈາລະນາ, ນີ້ແມ່ນຂໍ້ບົກພ່ອງເລັກນ້ອຍ. ແມ່ນແລ້ວ, ເງື່ອນໄຂນີ້ສາມາດຖືກປັບປຸງໃຫ້ດີທີ່ສຸດໂດຍການປ່ຽນຕົວປະຕິບັດການກັບ && ປະຕິບັດການ, ແຕ່ຈາກທັດສະນະການປະຕິບັດ, ສິ່ງນີ້ບໍ່ມີຜົນກະທົບຫຍັງເລີຍ. ຢ່າງໃດກໍ່ຕາມ, ໃນກໍລະນີອື່ນໆ, ຄວາມສັບສົນລະຫວ່າງ & & & ສາມາດເຮັດໃຫ້ເກີດບັນຫາຮ້າຍແຮງເມື່ອດ້ານຂວາຂອງການສະແດງຜົນຖືກປະຕິບັດດ້ວຍຄ່າທີ່ບໍ່ຖືກຕ້ອງ / ບໍ່ຖືກຕ້ອງ. ຕົວຢ່າງ, ໃນການລວບລວມຄວາມຜິດພາດຂອງພວກເຮົາ, ຖືກກໍານົດໂດຍໃຊ້ V3093 ການວິນິດໄສ, ມີ​ກໍ​ລະ​ນີ​ນີ້​:

if ((k < nct) & (s[k] != 0.0))

ເຖິງແມ່ນວ່າດັດຊະນີ k ບໍ່ຖືກຕ້ອງ, ມັນຈະຖືກນໍາໃຊ້ເພື່ອເຂົ້າເຖິງອົງປະກອບ array. ດັ່ງນັ້ນ, ຂໍ້ຍົກເວັ້ນຈະຖືກຖິ້ມ IndexOutOfRangeException.

ຄຳເຕືອນ N3, N4

ຄໍາ​ເຕືອນ​ນັກ​ວິ​ເຄາະ​: V3022 [CWE-571] ການສະແດງອອກ 'shortPrompt' ແມ່ນຄວາມຈິງສະເໝີ. InteractivePrompt.cs 101
ຄໍາ​ເຕືອນ​ນັກ​ວິ​ເຄາະ​: V3022 [CWE-571] ການສະແດງອອກ 'shortPrompt' ແມ່ນຄວາມຈິງສະເໝີ. InteractivePrompt.cs 105

public static string 
prompt_for_confirmation(.... bool shortPrompt = false, ....)
{
  ....
  if (shortPrompt)
  {
    var choicePrompt = choice.is_equal_to(defaultChoice) //1
    ?
    shortPrompt //2
    ?
    "[[{0}]{1}]".format_with(choice.Substring(0, 1).ToUpperInvariant(), //3
    choice.Substring(1,choice.Length - 1))
    :
    "[{0}]".format_with(choice.ToUpperInvariant()) //0
    : 
    shortPrompt //4
    ? 
    "[{0}]{1}".format_with(choice.Substring(0,1).ToUpperInvariant(), //5
    choice.Substring(1,choice.Length - 1)) 
    :
    choice; //0
    ....
  }
  ....
}

ໃນ​ກໍ​ລະ​ນີ​ນີ້​, ມີ​ເຫດ​ຜົນ strange ຢູ່​ເບື້ອງ​ຫລັງ​ການ​ດໍາ​ເນີນ​ງານ​ຂອງ​ຜູ້​ປະ​ຕິ​ບັດ​ການ ternary​. ລອງພິຈາລະນາເບິ່ງ: ຖ້າເງື່ອນໄຂທີ່ຂ້ອຍຫມາຍດ້ວຍເລກ 1 ແມ່ນບັນລຸໄດ້, ພວກເຮົາຈະກ້າວໄປສູ່ເງື່ອນໄຂ 2, ເຊິ່ງສະເຫມີ. ທີ່ແທ້ຈິງ, ຊຶ່ງຫມາຍຄວາມວ່າເສັ້ນ 3 ຈະຖືກປະຕິບັດ, ຖ້າເງື່ອນໄຂ 1 ກາຍເປັນຜິດ, ຫຼັງຈາກນັ້ນພວກເຮົາຈະໄປຫາເສັ້ນທີ່ມີຫມາຍເລກ 4, ເງື່ອນໄຂແມ່ນສະເຫມີ. ທີ່ແທ້ຈິງ, ຊຶ່ງຫມາຍຄວາມວ່າເສັ້ນ 5 ຈະຖືກປະຕິບັດ. ດັ່ງນັ້ນ, ເງື່ອນໄຂທີ່ຫມາຍດ້ວຍຄໍາຄິດຄໍາເຫັນ 0 ຈະບໍ່ຖືກປະຕິບັດ, ເຊິ່ງອາດຈະບໍ່ແມ່ນເຫດຜົນຂອງການດໍາເນີນງານທີ່ນັກຂຽນໂປລແກລມຄາດໄວ້.

ຄຳເຕືອນ N5

ຄໍາ​ເຕືອນ​ນັກ​ວິ​ເຄາະ​: V3123 [CWE-783] ບາງທີຕົວປະຕິບັດການ '?:' ເຮັດວຽກໃນທາງທີ່ແຕກຕ່າງຈາກທີ່ຄາດໄວ້. ບູລິມະສິດຂອງມັນແມ່ນຕ່ໍາກວ່າບູລິມະສິດຂອງຜູ້ປະຕິບັດງານອື່ນໆໃນເງື່ອນໄຂຂອງມັນ. Options.cs 1019

private static string GetArgumentName (...., string description)
{
  string[] nameStart;
  if (maxIndex == 1)
  {
    nameStart = new string[]{"{0:", "{"};
  }
  else
  {
    nameStart = new string[]{"{" + index + ":"};
  }
  for (int i = 0; i < nameStart.Length; ++i) 
  {
    int start, j = 0;
    do 
    {
      start = description.IndexOf (nameStart [i], j);
    } 
    while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false);
    ....
    return maxIndex == 1 ? "VALUE" : "VALUE" + (index + 1);
  }
}

ການວິນິດໄສໄດ້ເຮັດວຽກສໍາລັບເສັ້ນ:

while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false)

ນັບຕັ້ງແຕ່ຕົວແປ j ສອງສາມແຖວຂ້າງເທິງແມ່ນເລີ່ມຕົ້ນເປັນສູນ, ຕົວປະຕິບັດການ ternary ຈະສົ່ງຄືນຄ່າ ທີ່ບໍ່ຖືກຕ້ອງ. ເນື່ອງຈາກເງື່ອນໄຂນີ້, ຮ່າງກາຍຂອງ loop ຈະຖືກປະຕິບັດພຽງແຕ່ຄັ້ງດຽວ. ມັນເບິ່ງຄືວ່າຂ້ອຍວ່າລະຫັດນີ້ບໍ່ໄດ້ເຮັດວຽກຢູ່ໃນທຸກສິ່ງທີ່ນັກຂຽນໂປລແກລມຕັ້ງໃຈ.

ຄຳເຕືອນ N6

ຄໍາ​ເຕືອນ​ນັກ​ວິ​ເຄາະ​: V3022 [CWE-571] ການສະແດງອອກ 'installedPackageVersions.Count != 1' ແມ່ນຖືກຕ້ອງສະເໝີ. NugetService.cs 1405

private void remove_nuget_cache_for_package(....)
{
  if (!config.AllVersions && installedPackageVersions.Count > 1)
  {
    const string allVersionsChoice = "All versions";
    if (installedPackageVersions.Count != 1)
    {
      choices.Add(allVersionsChoice);
    }
    ....
  }
  ....
}

ມີສະພາບທີ່ແປກປະຫຼາດຢູ່ທີ່ນີ້: installPackageVersions.Count != 1ທີ່​ຈະ​ເປັນ​ສະ​ເຫມີ​ໄປ​ ທີ່ແທ້ຈິງ. ເລື້ອຍໆການເຕືອນໄພດັ່ງກ່າວຊີ້ໃຫ້ເຫັນເຖິງຄວາມຜິດພາດຢ່າງມີເຫດຜົນໃນລະຫັດ, ແລະໃນກໍລະນີອື່ນໆ, ມັນພຽງແຕ່ຊີ້ໃຫ້ເຫັນການກວດສອບຊ້ໍາຊ້ອນ.

ຄຳເຕືອນ N7

ຄໍາ​ເຕືອນ​ນັກ​ວິ​ເຄາະ​: V3001 ມີສ່ວນຍ່ອຍທີ່ຄືກັນ 'commandArguments.contains("-apikey")' ໄປທາງຊ້າຍ ແລະຂວາຂອງ '||' ຜູ້ປະກອບການ. ArgumentsUtility.cs 42

public static bool arguments_contain_sensitive_information(string
 commandArguments)
{
  return commandArguments.contains("-install-arguments-sensitive")
  || commandArguments.contains("-package-parameters-sensitive")
  || commandArguments.contains("apikey ")
  || commandArguments.contains("config ")
  || commandArguments.contains("push ")
  || commandArguments.contains("-p ")
  || commandArguments.contains("-p=")
  || commandArguments.contains("-password")
  || commandArguments.contains("-cp ")
  || commandArguments.contains("-cp=")
  || commandArguments.contains("-certpassword")
  || commandArguments.contains("-k ")
  || commandArguments.contains("-k=")
  || commandArguments.contains("-key ")
  || commandArguments.contains("-key=")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key");
}

ຜູ້ຂຽນໂປລແກລມທີ່ຂຽນລະຫັດພາກນີ້ຄັດລອກແລະວາງສອງແຖວສຸດທ້າຍແລະລືມທີ່ຈະແກ້ໄຂມັນ. ດ້ວຍເຫດນີ້, ຜູ້ໃຊ້ Chocolatey ບໍ່ສາມາດນຳໃຊ້ພາລາມິເຕີໄດ້ apikey ອີກສອງສາມວິທີ. ຄ້າຍຄືກັນກັບຕົວກໍານົດການຂ້າງເທິງ, ຂ້ອຍສາມາດສະເຫນີທາງເລືອກຕໍ່ໄປນີ້:

commandArguments.contains("-apikey=");
commandArguments.contains("-api-key=");

ຄວາມຜິດພາດການຄັດລອກແມ່ນມີໂອກາດສູງທີ່ຈະປາກົດໃນໄວໆນີ້ຫຼືຕໍ່ມາໃນໂຄງການໃດໆທີ່ມີລະຫັດແຫຼ່ງຈໍານວນຫລາຍ, ແລະຫນຶ່ງໃນເຄື່ອງມືທີ່ດີທີ່ສຸດທີ່ຈະຕໍ່ສູ້ກັບພວກມັນແມ່ນການວິເຄາະສະຖິດ.

PS ແລະເຊັ່ນດຽວກັນກັບສະເຫມີ, ຄວາມຜິດພາດນີ້ມັກຈະປາກົດຢູ່ໃນຕອນທ້າຍຂອງສະພາບຫຼາຍເສັ້ນ :). ເບິ່ງສິ່ງພິມ "ຜົນກະທົບແຖວສຸດທ້າຍ".

ຄຳເຕືອນ N8

ຄໍາ​ເຕືອນ​ນັກ​ວິ​ເຄາະ​: V3095 [CWE-476] ວັດຖຸ 'installedPackage' ໄດ້ຖືກນໍາໃຊ້ກ່ອນທີ່ມັນຈະຖືກກວດສອບກັບ null. ກວດສອບສາຍ: 910, 917. NugetService.cs 910

public virtual ConcurrentDictionary<string, PackageResult> get_outdated(....)
{
  ....
  var pinnedPackageResult = outdatedPackages.GetOrAdd(
    packageName, 
    new PackageResult(installedPackage, 
                      _fileSystem.combine_paths(
                        ApplicationParameters.PackagesLocation, 
                        installedPackage.Id)));
  ....
  if (   installedPackage != null
      && !string.IsNullOrWhiteSpace(installedPackage.Version.SpecialVersion) 
      && !config.UpgradeCommand.ExcludePrerelease)
  {
    ....
  }
  ....
}

ຄວາມຜິດພາດຄລາສສິກ: ຈຸດປະສົງທໍາອິດ ຕິດຕັ້ງຊຸດ ຖືກນໍາໃຊ້ແລະຫຼັງຈາກນັ້ນກວດເບິ່ງ null. ການວິນິດໄສນີ້ບອກພວກເຮົາກ່ຽວກັບຫນຶ່ງໃນສອງບັນຫາໃນໂຄງການ: ບໍ່ວ່າຈະ ຕິດຕັ້ງຊຸດ ບໍ່ເຄີຍເທົ່າທຽມກັນ null, ເຊິ່ງມີຄວາມສົງໃສ, ແລະຫຼັງຈາກນັ້ນການກວດສອບແມ່ນຊ້ໍາຊ້ອນ, ຫຼືພວກເຮົາອາດຈະໄດ້ຮັບຄວາມຜິດພາດທີ່ຮ້າຍແຮງໃນລະຫັດ - ຄວາມພະຍາຍາມໃນການເຂົ້າເຖິງການອ້າງອິງ null .

ສະຫລຸບ

ດັ່ງນັ້ນພວກເຮົາໄດ້ປະຕິບັດຂັ້ນຕອນຂະຫນາດນ້ອຍອີກ - ໃນປັດຈຸບັນການນໍາໃຊ້ PVS-Studio ໄດ້ກາຍເປັນງ່າຍແລະສະດວກກວ່າ. ຂ້າພະເຈົ້າຍັງຢາກເວົ້າວ່າ Chocolatey ເປັນຜູ້ຈັດການຊຸດທີ່ດີທີ່ມີຈໍານວນຂໍ້ຜິດພາດເລັກນ້ອຍໃນລະຫັດ, ເຊິ່ງອາດຈະຫນ້ອຍລົງເມື່ອໃຊ້ PVS-Studio.

ພວກເຮົາເຊີນທ່ານ скачать ແລະລອງ PVS-Studio. ການໃຊ້ເຄື່ອງວິເຄາະສະຖິດເປັນປະຈຳຈະຊ່ວຍປັບປຸງຄຸນນະພາບ ແລະ ຄວາມໜ້າເຊື່ອຖືຂອງລະຫັດທີ່ທີມຂອງເຈົ້າພັດທະນາ ແລະຊ່ວຍປ້ອງກັນຫຼາຍໆຢ່າງ. ຊ່ອງໂຫວ່ບໍ່ມີມື້.

PS

ກ່ອນທີ່ຈະພິມເຜີຍແຜ່, ພວກເຮົາໄດ້ສົ່ງບົດຄວາມໃຫ້ນັກພັດທະນາ Chocolatey, ແລະພວກເຂົາໄດ້ຮັບມັນດີ. ພວກເຮົາບໍ່ພົບສິ່ງທີ່ສໍາຄັນ, ແຕ່ຕົວຢ່າງເຊັ່ນພວກເຂົາມັກຂໍ້ບົກພ່ອງທີ່ພວກເຮົາພົບເຫັນທີ່ກ່ຽວຂ້ອງກັບປຸ່ມ "api-key".

ຖ້າທ່ານຕ້ອງການແບ່ງປັນບົດຄວາມນີ້ກັບຜູ້ຊົມທີ່ເວົ້າພາສາອັງກິດ, ກະລຸນາໃຊ້ການເຊື່ອມຕໍ່ການແປພາສາ: Vladislav Stolyarov. PVS-Studio ຕອນນີ້ຢູ່ໃນ Chocolatey: ກວດເບິ່ງ Chocolatey ພາຍໃຕ້ Azure DevOps.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com