PVS-Studio tagad ir pieejams Chocolatey: pārbauda Chocolatey no Azure DevOps

Mēs turpinām padarīt PVS-Studio lietošanu ērtāku. Mūsu analizators tagad ir pieejams Chocolatey, Windows pakotņu pārvaldniekā. Mēs uzskatām, ka tas atvieglos PVS-Studio izvietošanu, jo īpaši mākoņpakalpojumos. Lai netiktu tālu, pārbaudīsim tā paša Chocolatey pirmkodu. Azure DevOps darbosies kā CI sistēma.

Šeit ir saraksts ar citiem mūsu rakstiem par integrāciju ar mākoņsistēmām:

• PVS-Studio dodas uz mākoņiem: Azure DevOps
• PVS-Studio dodas uz mākoņiem: Travis CI
• PVS-Studio dodas uz mākoņiem: CircleCI
• PVS-Studio dodas uz mākoņiem: GitLab CI/CD

Es iesaku pievērst uzmanību pirmajam rakstam par integrāciju ar Azure DevOps, jo šajā gadījumā daži punkti tiek izlaisti, lai tie netiktu dublēti.

Tātad, šī raksta varoņi:

PVS-studija ir statiskā koda analīzes rīks, kas izstrādāts, lai identificētu kļūdas un iespējamās ievainojamības programmās, kas rakstītas C, C++, C# un Java valodās. Darbojas 64 bitu Windows, Linux un macOS sistēmās un var analizēt kodu, kas paredzēts 32 bitu, 64 bitu un iegultajām ARM platformām. Ja šī ir pirmā reize, kad mēģināt pārbaudīt statisko kodu analīzi, lai pārbaudītu savus projektus, iesakām iepazīties ar to rakstu par to, kā ātri apskatīt interesantākos PVS-Studio brīdinājumus un novērtēt šī rīka iespējas.

Azure DevOps — mākoņpakalpojumu kopums, kas kopīgi aptver visu izstrādes procesu. Šajā platformā ir iekļauti tādi rīki kā Azure Pipelines, Azure Boards, Azure Artifacts, Azure Repos, Azure Test Plans, kas ļauj paātrināt programmatūras izveides procesu un uzlabot tās kvalitāti.

Chocolatey ir atvērtā koda pakotņu pārvaldnieks operētājsistēmai Windows. Projekta mērķis ir automatizēt visu programmatūras dzīves ciklu no instalēšanas līdz atjaunināšanai un atinstalēšanai Windows operētājsistēmās.

Par Chocolatey lietošanu

Šeit varat redzēt, kā instalēt pašu pakotņu pārvaldnieku saite. Visa analizatora uzstādīšanas dokumentācija ir pieejama vietnē saite Skatiet sadaļu Instalēšana, izmantojot Chocolatey pakotņu pārvaldnieku. Es īsi atkārtošu dažus punktus no turienes.

Komanda, lai instalētu jaunāko analizatora versiju:

choco install pvs-studio

Komanda, lai instalētu noteiktu PVS-Studio pakotnes versiju:

choco install pvs-studio --version=7.05.35617.2075

Pēc noklusējuma ir instalēts tikai analizatora kodols, Core komponents. Visus pārējos karogus (Standalone, JavaCore, IDEA, MSVS2010, MSVS2012, MSVS2013, MSVS2015, MSVS2017, MSVS2019) var nodot, izmantojot --package-parameters.

Piemērs komandai, kas instalēs analizatoru ar Visual Studio 2019 spraudni:

choco install pvs-studio --package-parameters="'/MSVS2019'"

Tagad apskatīsim piemēru par ērtas analizatora izmantošanu zem Azure DevOps.

koriģēšana

Atgādināšu, ka ir atsevišķa sadaļa par tādiem jautājumiem kā konta reģistrēšana, Build Pipeline izveide un konta sinhronizēšana ar projektu, kas atrodas GitHub repozitorijā. raksts. Mūsu iestatīšana nekavējoties sāksies ar konfigurācijas faila rakstīšanu.

Vispirms iestatīsim palaišanas aktivizētāju, kas norāda, ka mēs palaižam tikai, lai veiktu izmaiņas meistars filiāle:

trigger:
- master

Tālāk mums ir jāizvēlas virtuālā mašīna. Pagaidām tas būs Microsoft mitināts aģents ar Windows Server 2019 un Visual Studio 2019:

pool:
  vmImage: 'windows-latest'

Pārejam uz konfigurācijas faila pamattekstu (block pasākumi). Neskatoties uz to, ka virtuālajā mašīnā nevar instalēt patvaļīgu programmatūru, es nepievienoju Docker konteineru. Mēs varam pievienot Chocolatey kā Azure DevOps paplašinājumu. Lai to izdarītu, pāriesim uz saite. Klikšķis Iegūstiet to bez maksas. Tālāk, ja esat jau pilnvarots, vienkārši atlasiet savu kontu un, ja nē, pēc autorizācijas dariet to pašu.

Šeit jums ir jāizvēlas vieta, kur pievienosim paplašinājumu, un noklikšķiniet uz pogas instalēt.

Pēc veiksmīgas instalēšanas noklikšķiniet uz Pārejiet uz organizāciju:

Tagad logā varat redzēt Chocolatey uzdevuma veidni uzdevumi rediģējot konfigurācijas failu azure-pipelines.yml:

Noklikšķiniet uz Chocolatey un skatiet lauku sarakstu:

Šeit mums ir jāizvēlas uzstādīt laukumā ar komandām. IN Nuspec faila nosaukums norādi vajadzīgās paketes nosaukumu – pvs-studio. Ja nenorādīsiet versiju, tiks instalēta jaunākā, kas mums pilnībā atbilst. Nospiedīsim pogu pievienot un mēs redzēsim ģenerēto uzdevumu konfigurācijas failā.

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

Tālāk pāriesim uz mūsu faila galveno daļu:

- task: CmdLine@2
  inputs:
    script: 

Tagad mums ir jāizveido fails ar analizatora licenci. Šeit PVSNAME и PVSKEY – mainīgo nosaukumi, kuru vērtības norādām iestatījumos. Tie saglabās PVS-Studio pieteikuminformāciju un licences atslēgu. Lai iestatītu to vērtības, atveriet izvēlni Mainīgie-> Jauns mainīgais. Izveidosim mainīgos PVSNAME par pieteikšanos un PVSKEY analizatora atslēgai. Neaizmirstiet atzīmēt izvēles rūtiņu Saglabājiet šo vērtību noslēpumā par PVSKEY. Komandas kods:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" credentials 
–u $(PVSNAME) –n $(PVSKEY)

Veidosim projektu, izmantojot repozitorijā esošo bat failu:

сall build.bat

Izveidosim mapi, kurā tiks saglabāti faili ar analizatora rezultātiem:

сall mkdir PVSTestResults

Sāksim analizēt projektu:

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
–t .srcchocolatey.sln –o .PVSTestResultsChoco.plog 

Mēs pārveidojam savu pārskatu html formātā, izmantojot utilītu PlogСonverter:

сall "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
–t html –o PVSTestResults .PVSTestResultsChoco.plog

Tagad jums ir jāizveido uzdevums, lai varētu augšupielādēt pārskatu.

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

Pilns konfigurācijas fails izskatās šādi:

trigger:
- master

pool:
  vmImage: 'windows-latest'

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

- task: CmdLine@2
  inputs:
    script: |
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      credentials –u $(PVSNAME) –n $(PVSKEY)
      call build.bat
      call mkdir PVSTestResults
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      –t .srcchocolatey.sln –o .PVSTestResultsChoco.plog
      call "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
      –t html –o .PVSTestResults .PVSTestResultsChoco.plog

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

Noklikšķināsim Saglabāt->Saglabāt->Palaist lai izpildītu uzdevumu. Lejupielādēsim pārskatu, atverot cilni Uzdevumi.

Chocolatey projektā ir tikai 37615 C# koda rindas. Apskatīsim dažas no atrastajām kļūdām.

Testa rezultāti

Brīdinājums N1

Analizatora brīdinājums: V3005 Mainīgais “Provider” tiek piešķirts sev. CrytpoHashProviderSpecs.cs 38

public abstract class CrytpoHashProviderSpecsBase : TinySpec
{
  ....
  protected CryptoHashProvider Provider;
  ....
  public override void Context()
  {
    Provider = Provider = new CryptoHashProvider(FileSystem.Object);
  }
}

Analizators atklāja mainīgā piešķiršanu sev, kam nav jēgas. Visticamāk, viena no šiem mainīgajiem vietā vajadzētu būt kādam citam. Nu, vai arī šī ir drukas kļūda, un papildu uzdevumu var vienkārši noņemt.

Brīdinājums N2

Analizatora brīdinājums: V3093 [CWE-480] Operators '&' novērtē abus operandus. Varbūt tā vietā jāizmanto īssavienojuma operators &&. Platform.cs 64

public static PlatformType get_platform()
{
  switch (Environment.OSVersion.Platform)
  {
    case PlatformID.MacOSX:
    {
      ....
    }
    case PlatformID.Unix:
    if(file_system.directory_exists("/Applications")
      & file_system.directory_exists("/System")
      & file_system.directory_exists("/Users")
      & file_system.directory_exists("/Volumes"))
      {
        return PlatformType.Mac;
      }
        else
          return PlatformType.Linux;
    default:
      return PlatformType.Windows;
  }
}

Operatoru atšķirība & no operatora && ir tas, ka, ja izteiksmes kreisā puse ir nepatiess, tad joprojām tiks aprēķināta labā puse, kas šajā gadījumā nozīmē nevajadzīgus metožu izsaukumus system.directory_exists.

Aplūkotajā fragmentā tas ir neliels trūkums. Jā, šo nosacījumu var optimizēt, aizstājot & operatoru ar && operatoru, taču no praktiskā viedokļa tas neko neietekmē. Tomēr citos gadījumos & un && sajaukšana var radīt nopietnas problēmas, ja izteiksmes labā puse tiek apstrādāta ar nepareizām/nederīgām vērtībām. Piemēram, mūsu kļūdu kolekcijā identificēts, izmantojot V3093 diagnostiku, ir šāds gadījums:

if ((k < nct) & (s[k] != 0.0))

Pat ja indekss k ir nepareizs, tas tiks izmantots, lai piekļūtu masīva elementam. Rezultātā tiks izmests izņēmums IndexOutOfRangeException.

Brīdinājumi N3, N4

Analizatora brīdinājums: V3022 [CWE-571] Izteiksme “shortPrompt” vienmēr ir patiesa. InteractivePrompt.cs 101
Analizatora brīdinājums: V3022 [CWE-571] Izteiksme “shortPrompt” vienmēr ir patiesa. InteractivePrompt.cs 105

public static string 
prompt_for_confirmation(.... bool shortPrompt = false, ....)
{
  ....
  if (shortPrompt)
  {
    var choicePrompt = choice.is_equal_to(defaultChoice) //1
    ?
    shortPrompt //2
    ?
    "[[{0}]{1}]".format_with(choice.Substring(0, 1).ToUpperInvariant(), //3
    choice.Substring(1,choice.Length - 1))
    :
    "[{0}]".format_with(choice.ToUpperInvariant()) //0
    : 
    shortPrompt //4
    ? 
    "[{0}]{1}".format_with(choice.Substring(0,1).ToUpperInvariant(), //5
    choice.Substring(1,choice.Length - 1)) 
    :
    choice; //0
    ....
  }
  ....
}

Šajā gadījumā trīskāršā operatora darbības pamatā ir dīvaina loģika. Paskatīsimies tuvāk: ja nosacījums, ko atzīmēju ar 1. numuru, ir izpildīts, tad mēs pāriesim uz nosacījumu 2, kas vienmēr ir patiess, kas nozīmē, ka tiks izpildīta rinda 3. Ja nosacījums 1 izrādīsies nepatiess, tad mēs pāriesim uz rindu, kas apzīmēta ar numuru 4, kurā nosacījums arī vienmēr ir patiess, kas nozīmē, ka tiks izpildīta rinda 5. Tādējādi nosacījumi, kas atzīmēti ar komentāru 0, nekad netiks izpildīti, kas var nebūt tieši tāda darbības loģika, kādu programmētājs gaidīja.

Brīdinājums N5

Analizatora brīdinājums: V3123 [CWE-783] Iespējams, operators "?:" darbojas savādāk, nekā bija paredzēts. Tā prioritāte ir zemāka par citu operatoru prioritāti savā stāvoklī. Options.cs 1019

private static string GetArgumentName (...., string description)
{
  string[] nameStart;
  if (maxIndex == 1)
  {
    nameStart = new string[]{"{0:", "{"};
  }
  else
  {
    nameStart = new string[]{"{" + index + ":"};
  }
  for (int i = 0; i < nameStart.Length; ++i) 
  {
    int start, j = 0;
    do 
    {
      start = description.IndexOf (nameStart [i], j);
    } 
    while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false);
    ....
    return maxIndex == 1 ? "VALUE" : "VALUE" + (index + 1);
  }
}

Diagnostika strādāja līnijai:

while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false)

Kopš mainīgā j dažas rindas augstāk tiek inicializēta uz nulli, trīskāršais operators atgriezīs vērtību nepatiess. Šī nosacījuma dēļ cilpas pamatteksts tiks izpildīts tikai vienu reizi. Man šķiet, ka šis koda fragments nemaz nedarbojas tā, kā programmētājs bija iecerējis.

Brīdinājums N6

Analizatora brīdinājums: V3022 [CWE-571] Izteiksme “installedPackageVersions.Count != 1” vienmēr ir patiesa. NugetService.cs 1405

private void remove_nuget_cache_for_package(....)
{
  if (!config.AllVersions && installedPackageVersions.Count > 1)
  {
    const string allVersionsChoice = "All versions";
    if (installedPackageVersions.Count != 1)
    {
      choices.Add(allVersionsChoice);
    }
    ....
  }
  ....
}

Šeit ir dīvains ligzdots nosacījums: InstallPackageVersions.Count != 1kas būs vienmēr patiess. Bieži vien šāds brīdinājums norāda uz loģisku kļūdu kodā, bet citos gadījumos tas vienkārši norāda uz lieku pārbaudi.

Brīdinājums N7

Analizatora brīdinājums: V3001 Ir identiskas apakšizteiksmes 'commandArguments.contains("-apikey")' pa kreisi un pa labi no '||' operators. ArgumentsUtility.cs 42

public static bool arguments_contain_sensitive_information(string
 commandArguments)
{
  return commandArguments.contains("-install-arguments-sensitive")
  || commandArguments.contains("-package-parameters-sensitive")
  || commandArguments.contains("apikey ")
  || commandArguments.contains("config ")
  || commandArguments.contains("push ")
  || commandArguments.contains("-p ")
  || commandArguments.contains("-p=")
  || commandArguments.contains("-password")
  || commandArguments.contains("-cp ")
  || commandArguments.contains("-cp=")
  || commandArguments.contains("-certpassword")
  || commandArguments.contains("-k ")
  || commandArguments.contains("-k=")
  || commandArguments.contains("-key ")
  || commandArguments.contains("-key=")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key");
}

Programmētājs, kurš uzrakstīja šo koda sadaļu, nokopēja un ielīmēja pēdējās divas rindiņas un aizmirsa tās rediģēt. Šī iemesla dēļ Chocolatey lietotāji nevarēja lietot parametru apikey vēl pāris veidi. Līdzīgi iepriekš minētajiem parametriem es varu piedāvāt šādas iespējas:

commandArguments.contains("-apikey=");
commandArguments.contains("-api-key=");

Kopēšanas un ielīmēšanas kļūdām ir liela iespēja agrāk vai vēlāk parādīties jebkurā projektā ar lielu avota koda daudzumu, un viens no labākajiem rīkiem to novēršanai ir statiskā analīze.

PS Un kā vienmēr, šī kļūda mēdz parādīties vairāku rindu nosacījuma beigās :). Skatīt publikāciju "Pēdējās rindas efekts".

Brīdinājums N8

Analizatora brīdinājums: V3095 [CWE-476] Objekts "installedPackage" tika izmantots, pirms tas tika pārbaudīts pret nulli. Kontrolrindas: 910, 917. NugetService.cs 910

public virtual ConcurrentDictionary<string, PackageResult> get_outdated(....)
{
  ....
  var pinnedPackageResult = outdatedPackages.GetOrAdd(
    packageName, 
    new PackageResult(installedPackage, 
                      _fileSystem.combine_paths(
                        ApplicationParameters.PackagesLocation, 
                        installedPackage.Id)));
  ....
  if (   installedPackage != null
      && !string.IsNullOrWhiteSpace(installedPackage.Version.SpecialVersion) 
      && !config.UpgradeCommand.ExcludePrerelease)
  {
    ....
  }
  ....
}

Klasiska kļūda: objekts vispirms instalēta pakotne tiek izmantots un pēc tam pārbaudīts nulle. Šī diagnostika informē par vienu no divām programmas problēmām: vai nu instalēta pakotne nekad nav vienlīdzīgs nulle, kas ir apšaubāms, un tad pārbaude ir lieka, pretējā gadījumā kodā var rasties nopietna kļūda - mēģinājums piekļūt nulles atsaucei.

Secinājums

Tāpēc esam spēruši vēl vienu nelielu soli – tagad PVS-Studio lietošana ir kļuvusi vēl vienkāršāka un ērtāka. Vēlos arī teikt, ka Chocolatey ir labs pakotņu pārvaldnieks ar nelielu skaitu kļūdu kodā, kuru varētu būt vēl mazāk, lietojot PVS-Studio.

Mēs jūs aicinām download un izmēģiniet PVS-Studio. Regulāra statiskā analizatora izmantošana uzlabos jūsu komandas izstrādātā koda kvalitāti un uzticamību un palīdzēs novērst daudzas nulles dienas ievainojamības.

PS

Pirms publicēšanas rakstu nosūtījām Chocolatey izstrādātājiem, un viņi to labi saņēma. Mēs neatradām neko kritisku, taču viņiem, piemēram, patika atrastā kļūda saistībā ar “api-key” atslēgu.

Ja vēlaties dalīties ar šo rakstu ar angliski runājošu auditoriju, lūdzu, izmantojiet tulkošanas saiti: Vladislavs Stoļarovs. PVS-Studio tagad ir pieejams Chocolatey: Chocolatey pārbaude pakalpojumā Azure DevOps.

Avots: www.habr.com