PVS-Studio သည် ယခု Chocolatey တွင် ရှိနေသည်- Azure DevOps အောက်တွင် Chocolatey ကို စစ်ဆေးနေသည်

ကျွန်ုပ်တို့သည် PVS-Studio ကို ပိုမိုအဆင်ပြေစေရန် ဆက်လက်လုပ်ဆောင်ပါသည်။ ကျွန်ုပ်တို့၏ခွဲခြမ်းစိတ်ဖြာသူအား Windows အတွက် ပက်ကေ့ဂျ်မန်နေဂျာဖြစ်သော Chocolatey တွင် ယခုရရှိနိုင်ပါပြီ။ ၎င်းသည် PVS-Studio အထူးသဖြင့် cloud ဝန်ဆောင်မှုများတွင် လွယ်ကူချောမွေ့စေမည်ဟု ကျွန်ုပ်တို့ယုံကြည်ပါသည်။ ဝေးဝေးမသွားစေရန်၊ တူညီသော Chocolatey ၏အရင်းအမြစ်ကုဒ်ကိုစစ်ဆေးကြပါစို့။ Azure DevOps သည် CI စနစ်တစ်ခုအဖြစ် လုပ်ဆောင်မည်ဖြစ်သည်။

ဤသည်မှာ cloud စနစ်များနှင့် ပေါင်းစည်းခြင်းဆိုင်ရာ ခေါင်းစဉ်နှင့် ပတ်သက်သည့် ကျွန်ုပ်တို့၏ အခြားသော ဆောင်းပါးများစာရင်း ဖြစ်ပါသည်။

• PVS-Studio သည် တိမ်များဆီသို့သွားသည်- Azure DevOps
• PVS-Studio သည် တိမ်များဆီသို့သွားသည်- Travis CI
• PVS-Studio သည် တိမ်များဆီသို့သွားသည်- CircleCI
• PVS-Studio သည် တိမ်များဆီသို့သွားသည်- GitLab CI/CD

Azure DevOps နှင့် ပေါင်းစည်းခြင်းဆိုင်ရာ ပထမဆောင်းပါးကို ဂရုပြုရန် အကြံပြုလိုပါသည်၊ ဤကိစ္စတွင် အချို့သောအချက်များကို ထပ်ပွားမခံရစေရန် ချန်လှပ်ထားသည်။

ထို့ကြောင့် ဤဆောင်းပါး၏ သူရဲကောင်းများ၊

PVS-Studio မှ C၊ C++၊ C# နှင့် Java တို့တွင် ရေးသားထားသော ပရိုဂရမ်များတွင် အမှားများနှင့် ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များကို ရှာဖွေဖော်ထုတ်ရန် ဒီဇိုင်းဆွဲထားသော static code ခွဲခြမ်းစိတ်ဖြာသည့်ကိရိယာတစ်ခုဖြစ်သည်။ 64-bit Windows၊ Linux နှင့် macOS စနစ်များတွင် လုပ်ဆောင်ပြီး 32-bit၊ 64-bit နှင့် embedded ARM ပလပ်ဖောင်းများအတွက် ဒီဇိုင်းထုတ်ထားသော ကုဒ်များကို ပိုင်းခြားစိတ်ဖြာနိုင်ပါသည်။ သင့်ပရောဂျက်များကို စစ်ဆေးရန် static code ခွဲခြမ်းစိတ်ဖြာမှုကို သင်ပထမဆုံးအကြိမ်ကြိုးစားပါက၊ သင့်ကိုယ်သင် အကျွမ်းတဝင်ရှိစေရန် အကြံပြုအပ်ပါသည်။ ဆောင်းပါး စိတ်ဝင်စားစရာအကောင်းဆုံး PVS-Studio သတိပေးချက်များကို လျင်မြန်စွာကြည့်ရှုနည်းနှင့် ဤကိရိယာ၏စွမ်းရည်များကို အကဲဖြတ်နည်း။

Azure DevOps - ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်တစ်ခုလုံးကို ပူးတွဲကာမိသည့် cloud ဝန်ဆောင်မှုအစုတစ်ခု။ ဤပလပ်ဖောင်းတွင် Azure Pipelines၊ Azure Boards၊ Azure Artifacts၊ Azure Repos၊ Azure Test Plans ကဲ့သို့သော ကိရိယာများ ပါ၀င်သည်

ချောကလက် Windows အတွက် open source package manager တစ်ခုဖြစ်သည်။ ပရောဂျက်၏ ရည်ရွယ်ချက်မှာ တပ်ဆင်ခြင်းမှ Windows လည်ပတ်မှုစနစ်များတွင် အပ်ဒိတ်လုပ်ခြင်းနှင့် ဖြုတ်ခြင်းအထိ ဆော့ဖ်ဝဲလ်သက်တမ်းစက်ဝန်းတစ်ခုလုံးကို အလိုအလျောက်လုပ်ဆောင်ရန်ဖြစ်သည်။

Chocolatey အသုံးပြုခြင်းအကြောင်း

ပက်ကေ့ဂျ်မန်နေဂျာကိုယ်တိုင် ထည့်သွင်းနည်းကို ဤနေရာတွင် ကြည့်ရှုနိုင်ပါသည်။ link ကို. ခွဲခြမ်းစိတ်ဖြာစက်တပ်ဆင်ခြင်းအတွက် စာရွက်စာတမ်းအပြည့်အစုံကို တွင်ရနိုင်သည်။ link ကို Chocolatey ပက်ကေ့ဂျ်မန်နေဂျာကဏ္ဍကို အသုံးပြု၍ တပ်ဆင်ခြင်းကို ကြည့်ပါ။ အဲဒီကနေ အချက်တချို့ကို အတိုချုံးပြီး ထပ်ပြောပါမယ်။

ခွဲခြမ်းစိတ်ဖြာမှု၏ နောက်ဆုံးဗားရှင်းကို ထည့်သွင်းရန် အမိန့်ပေး-

choco install pvs-studio

PVS-Studio ပက်ကေ့ဂျ်၏ သီးခြားဗားရှင်းကို ထည့်သွင်းရန် ညွှန်ကြားချက်-

choco install pvs-studio --version=7.05.35617.2075

ပုံမှန်အားဖြင့်၊ ခွဲခြမ်းစိတ်ဖြာသူ၏ အူတိုင်၊ Core အစိတ်အပိုင်းကိုသာ ထည့်သွင်းထားသည်။ အခြားအလံများ (Standalone၊ JavaCore၊ IDEA၊ MSVS2010၊ MSVS2012၊ MSVS2013၊ MSVS2015၊ MSVS2017၊ MSVS2019) အားလုံးကို --package-parameters များသုံးပြီး ကျော်ဖြတ်နိုင်ပါသည်။

Visual Studio 2019 အတွက် ပလပ်အင်တစ်ခုပါရှိသော ခွဲခြမ်းစိတ်ဖြာကိရိယာကို တပ်ဆင်မည့် ကွန်မန်းတစ်ခု၏ ဥပမာ-

choco install pvs-studio --package-parameters="'/MSVS2019'"

ယခု Azure DevOps အောက်ရှိ ခွဲခြမ်းစိတ်ဖြာကိရိယာကို အဆင်ပြေစွာအသုံးပြုခြင်း၏ နမူနာကို ကြည့်ကြပါစို့။

သင့်အောင်လုပ်ခြင်း

အကောင့်တစ်ခုမှတ်ပုံတင်ခြင်း၊ Build Pipeline ဖန်တီးခြင်းနှင့် GitHub သိုလှောင်မှုတွင်ရှိသော ပရောဂျက်တစ်ခုနှင့် သင့်အကောင့်ကို ထပ်တူပြုခြင်းကဲ့သို့သော ပြဿနာများနှင့်ပတ်သက်သည့် သီးခြားကဏ္ဍတစ်ခုရှိကြောင်း ကျွန်ုပ်အား သတိပေးပါရစေ။ ဆောင်းပါး. ကျွန်ုပ်တို့၏ စနစ်ထည့်သွင်းမှုသည် ဖွဲ့စည်းမှုပုံစံဖိုင်ကို ရေးသားခြင်းဖြင့် ချက်ချင်းစတင်ပါမည်။

ပထမဦးစွာ၊ ကျွန်ုပ်တို့သည် အပြောင်းအလဲများအတွက်သာ စတင်လုပ်ဆောင်ကြောင်း ညွှန်ပြသော launch trigger တစ်ခုကို သတ်မှတ်ကြပါစို့ မာစတာ ဌာနခွဲ-

trigger:
- master

ထို့နောက် ကျွန်ုပ်တို့သည် virtual machine တစ်ခုကို ရွေးချယ်ရန် လိုအပ်သည်။ ယခုအချိန်တွင် ၎င်းသည် Windows Server 2019 နှင့် Visual Studio 2019 ဖြင့် Microsoft-hosted အေးဂျင့်ဖြစ်လိမ့်မည်-

pool:
  vmImage: 'windows-latest'

ဖွဲ့စည်းမှုဖိုင်၏ကိုယ်ထည်သို့ ဆက်သွားကြပါစို့ (ပိတ်ဆို့ပါ။ ခြေလှမ်းများ) သင်သည် မထင်သလိုဆော့ဖ်ဝဲလ်ကို virtual machine တစ်ခုတွင်ထည့်သွင်း၍မရသော်လည်း၊ ကျွန်ုပ်သည် Docker container ကိုမထည့်ခဲ့ပါ။ ကျွန်ုပ်တို့သည် Azure DevOps အတွက် နောက်ဆက်တွဲအဖြစ် Chocolatey ကို ထည့်နိုင်သည်။ ဒီလိုလုပ်ဖို့၊ သွားကြရအောင် link ကို. နှိပ်ပါ။ အခမဲ့ရယူပါ. နောက်တစ်ခု၊ သင်ခွင့်ပြုချက်ရရှိပြီးဖြစ်ပါက၊ သင့်အကောင့်ကို ရိုးရိုးရှင်းရှင်းရွေးချယ်ပါ၊ မဟုတ်ပါက၊ ခွင့်ပြုချက်ပြီးနောက် အလားတူလုပ်ဆောင်ပါ။

ဤနေရာတွင် ကျွန်ုပ်တို့သည် တိုးချဲ့မှုထည့်မည့်နေရာကို ရွေးချယ်ပြီး ခလုတ်ကိုနှိပ်ရပါမည်။ Install.

တပ်ဆင်မှုအောင်မြင်ပြီးနောက်၊ နှိပ်ပါ။ အဖွဲ့အစည်းကို ဆက်သွားပါ။:

ယခု window တွင် Chocolatey အလုပ်အတွက် နမူနာပုံစံကို သင်မြင်နိုင်ပါပြီ။ လုပ်ငန်းတာဝန်များ configuration file တစ်ခုကို တည်းဖြတ်တဲ့အခါ azure-pipelines.yml-

Chocolatey ကိုနှိပ်ပြီး အကွက်များစာရင်းကိုကြည့်ပါ

ဤတွင်ကျွန်ုပ်တို့ရွေးချယ်ရန်လိုအပ်သည်။ install အသင်းတွေနဲ့ ကွင်းထဲမှာ။ IN Nuspec ဖိုင်အမည် လိုအပ်သောပက်ကေ့ဂျ်အမည် - pvs-studio ။ ဗားရှင်းကို သင်မသတ်မှတ်ပါက၊ ကျွန်ုပ်တို့နှင့် လုံးဝကိုက်ညီသည့် နောက်ဆုံးထွက်ကို ထည့်သွင်းပါမည်။ ခလုတ်ကို နှိပ်လိုက်ရအောင် ပေါင်း configuration file တွင် ထုတ်ပေးထားသော လုပ်ဆောင်စရာကို ကျွန်ုပ်တို့တွေ့ရပါမည်။

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

ထို့နောက် ကျွန်ုပ်တို့၏ဖိုင်၏ အဓိကအပိုင်းသို့ ဆက်သွားကြပါစို့။

- task: CmdLine@2
  inputs:
    script: 

ယခု ကျွန်ုပ်တို့သည် ခွဲခြမ်းစိတ်ဖြာမှုလိုင်စင်ဖြင့် ဖိုင်တစ်ခုကို ဖန်တီးရန်လိုအပ်သည်။ ဒီမှာ PVSNAME и PVSKEY - ဆက်တင်များတွင် ကျွန်ုပ်တို့သတ်မှတ်ထားသော တန်ဖိုးများ ကိန်းရှင်အမည်များ။ ၎င်းတို့သည် PVS-Studio အကောင့်ဝင်ခြင်းနှင့် လိုင်စင်ကီးကို သိမ်းဆည်းထားမည်ဖြစ်သည်။ ၎င်းတို့၏တန်ဖိုးများကို သတ်မှတ်ရန် မီနူးကိုဖွင့်ပါ။ Variables->ပြောင်းလွဲပြောင်းအသစ်. ကိန်းရှင်များဖန်တီးကြပါစို့ PVSNAME login နှင့် PVSKEY ခွဲခြမ်းစိတ်ဖြာသော့အတွက်။ အကွက်ကိုစစ်ဆေးရန်မမေ့ပါနှင့် ဤတန်ဖိုးကို လျှို့ဝှက်ထားပါ။ အတွက် PVSKEY. အမိန့်ကုဒ်-

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" credentials 
–u $(PVSNAME) –n $(PVSKEY)

repository တွင်ရှိသော bat ဖိုင်ကို အသုံးပြု၍ ပရောဂျက်ကို တည်ဆောက်ကြပါစို့။

сall build.bat

ခွဲခြမ်းစိတ်ဖြာသူ၏ရလဒ်များကိုသိမ်းဆည်းမည့်ဖိုင်တွဲတစ်ခုဖန်တီးကြပါစို့။

сall mkdir PVSTestResults

ပရောဂျက်ကို ခွဲခြမ်းစိတ်ဖြာကြည့်ရအောင်။

сall "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
–t .srcchocolatey.sln –o .PVSTestResultsChoco.plog 

PlogСonverter utility ကို အသုံးပြု၍ ကျွန်ုပ်တို့၏အစီရင်ခံစာကို html ဖော်မတ်သို့ ပြောင်းပါသည်။

сall "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
–t html –o PVSTestResults .PVSTestResultsChoco.plog

ယခု သင်သည် အစီရင်ခံစာကို အပ်လုဒ်လုပ်နိုင်ရန် လုပ်ဆောင်စရာတစ်ခု ဖန်တီးရန် လိုအပ်ပါသည်။

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

ပြီးပြည့်စုံသော configuration file သည် ဤကဲ့သို့ဖြစ်သည်-

trigger:
- master

pool:
  vmImage: 'windows-latest'

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

- task: CmdLine@2
  inputs:
    script: |
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      credentials –u $(PVSNAME) –n $(PVSKEY)
      call build.bat
      call mkdir PVSTestResults
      call "C:Program Files (x86)PVS-StudioPVS-Studio_Cmd.exe" 
      –t .srcchocolatey.sln –o .PVSTestResultsChoco.plog
      call "C:Program Files (x86)PVS-StudioPlogConverter.exe" 
      –t html –o .PVSTestResults .PVSTestResultsChoco.plog

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

နှိပ်ကြည့်ရအောင် Save->Save->Run တာဝန်ကိုလည်ပတ်ရန်။ လုပ်ဆောင်စရာများ တက်ဘ်သို့ သွားခြင်းဖြင့် အစီရင်ခံစာကို ဒေါင်းလုဒ်လုပ်ကြပါစို့။

Chocolatey ပရောဂျက်တွင် C# ကုဒ် ၃၇၆၁၅ လိုင်းသာပါရှိသည်။ တွေ့ရတဲ့ Error အချို့ကို လေ့လာကြည့်ရအောင်။

စမ်းသပ်မှုရလဒ်များ

သတိပေးချက် N1

ခွဲခြမ်းစိတ်ဖြာသူ သတိပေးချက်- V3005 'ပံ့ပိုးပေးသူ' ကိန်းရှင်ကို သူ့ဘာသာသူ သတ်မှတ်ထားသည်။ CrytpoHashProviderSpecs.cs ၃၈

public abstract class CrytpoHashProviderSpecsBase : TinySpec
{
  ....
  protected CryptoHashProvider Provider;
  ....
  public override void Context()
  {
    Provider = Provider = new CryptoHashProvider(FileSystem.Object);
  }
}

ခွဲခြမ်းစိတ်ဖြာသူသည် အဓိပ္ပာယ်မရှိသော ကိန်းရှင်၏တာဝန်ကို သူ့ဘာသာသူ ရှာဖွေတွေ့ရှိခဲ့သည်။ ဖြစ်နိုင်ချေ အများစုမှာ၊ ဤကိန်းရှင်များထဲမှ တစ်ခုအစား အခြားတစ်ခု ရှိသင့်သည်။ ကောင်းပြီ၊ သို့မဟုတ် ၎င်းသည် အမှားအယွင်းတစ်ခုဖြစ်ပြီး အပိုတာဝန်ကို ရိုးရှင်းစွာ ဖယ်ရှားနိုင်သည်။

သတိပေးချက် N2

ခွဲခြမ်းစိတ်ဖြာသူ သတိပေးချက်- V3093 [CWE-480] '&' အော်ပရေတာသည် အော်ပရေတာနှစ်ခုလုံးကို အကဲဖြတ်သည်။ တာတိုပတ်လမ်း '&&' အော်ပရေတာအစား သုံးသင့်သည်။ Platform.cs ၆၄

public static PlatformType get_platform()
{
  switch (Environment.OSVersion.Platform)
  {
    case PlatformID.MacOSX:
    {
      ....
    }
    case PlatformID.Unix:
    if(file_system.directory_exists("/Applications")
      & file_system.directory_exists("/System")
      & file_system.directory_exists("/Users")
      & file_system.directory_exists("/Volumes"))
      {
        return PlatformType.Mac;
      }
        else
          return PlatformType.Linux;
    default:
      return PlatformType.Windows;
  }
}

အော်ပရေတာကွာခြားချက် & အော်ပရေတာထံမှ && ဆိုလိုသည်မှာ expression ၏ ဘယ်ဘက်အခြမ်းဖြစ်ပါက မမှန်သောထို့နောက် ညာဘက်ခြမ်းကို တွက်ချက်နေဆဲဖြစ်ပြီး၊ ဤကိစ္စတွင် မလိုအပ်သော နည်းလမ်းခေါ်ဆိုမှုများကို ဆိုလိုသည်။ system.directory_ ရှိနေပါသည်။.

အပိုင်းအစတွင်၊ ဤသည်မှာ အသေးစားချို့ယွင်းချက်ဖြစ်သည်။ ဟုတ်ပါသည်၊ ဤအခြေအနေအား & အော်ပရေတာအား && အော်ပရေတာဖြင့် အစားထိုးခြင်းဖြင့် အကောင်းဆုံးဖြစ်အောင် လုပ်ဆောင်နိုင်သော်လည်း လက်တွေ့ကျသောအမြင်အရ၊ ၎င်းသည် မည်သည့်အရာကိုမျှ မထိခိုက်စေပါ။ သို့ရာတွင်၊ အခြားကိစ္စများတွင်၊ &&& ကြားတွင် ရှုပ်ထွေးမှုများသည် စကားရပ်၏ညာဘက်ခြမ်းကို မှားယွင်း/မမှန်ကန်သောတန်ဖိုးများဖြင့် ဆက်ဆံသောအခါတွင် ကြီးမားသောပြဿနာများဖြစ်စေနိုင်သည်။ ဥပမာအားဖြင့် ကျွန်ုပ်တို့၏ error collection ၊ V3093 diagnostic ကို အသုံးပြု၍ ဖော်ထုတ်ခဲ့သည်။ဤကိစ္စရှိပါသည်-

if ((k < nct) & (s[k] != 0.0))

ကိန်းပင် k မှားယွင်းနေသည်၊ ၎င်းကို array ဒြပ်စင်သို့ ဝင်ရောက်ရန် အသုံးပြုပါမည်။ ရလဒ်အနေနဲ့ ခြွင်းချက်အနေနဲ့ ချွင်းချက်အနေနဲ့ ပေးပါလိမ့်မယ်။ IndexOutOfRangeException.

သတိပေးချက်များ N3၊ N4

ခွဲခြမ်းစိတ်ဖြာသူ သတိပေးချက်- V3022 [CWE-571] 'shortPrompt' စကားရပ်သည် အမြဲမှန်သည်။ InteractivePrompt.cs ၁၀၁
ခွဲခြမ်းစိတ်ဖြာသူ သတိပေးချက်- V3022 [CWE-571] 'shortPrompt' စကားရပ်သည် အမြဲမှန်သည်။ InteractivePrompt.cs ၁၀၁

public static string 
prompt_for_confirmation(.... bool shortPrompt = false, ....)
{
  ....
  if (shortPrompt)
  {
    var choicePrompt = choice.is_equal_to(defaultChoice) //1
    ?
    shortPrompt //2
    ?
    "[[{0}]{1}]".format_with(choice.Substring(0, 1).ToUpperInvariant(), //3
    choice.Substring(1,choice.Length - 1))
    :
    "[{0}]".format_with(choice.ToUpperInvariant()) //0
    : 
    shortPrompt //4
    ? 
    "[{0}]{1}".format_with(choice.Substring(0,1).ToUpperInvariant(), //5
    choice.Substring(1,choice.Length - 1)) 
    :
    choice; //0
    ....
  }
  ....
}

ဤကိစ္စတွင်၊ ternary operator ၏လုပ်ဆောင်မှုနောက်ကွယ်တွင် ထူးဆန်းသောယုတ္တိတစ်ခုရှိသည်။ အနီးကပ်လေ့လာကြည့်ရအောင်- ကျွန်တော် နံပါတ် 1 နဲ့ အမှတ်အသားပြုထားတဲ့ အခြေအနေနဲ့ ကိုက်ညီရင်၊ အမြဲတမ်း ဖြစ်နေတဲ့ အခြေအနေ 2 ကို ဆက်သွားမယ်။ စစ်မှန်တဲ့ဆိုလိုသည်မှာ လိုင်း 3 ကို အကောင်အထည်ဖော်မည်ဖြစ်သည်။ အခြေအနေ 1 သည် false ဖြစ်သွားပါက၊ နံပါတ် 4 ဖြင့် အမှတ်အသားပြုထားသော မျဉ်းသို့သွားပါမည်။ စစ်မှန်တဲ့ဆိုလိုသည်မှာ စာကြောင်း 5 ကို အကောင်အထည်ဖော်ပါမည်။ ထို့ကြောင့်၊ မှတ်ချက် 0 ဖြင့် အမှတ်အသားပြုထားသော အခြေအနေများသည် မည်သည့်အခါမျှ ပြည့်စုံလိမ့်မည်မဟုတ်ပေ၊ ၎င်းသည် ပရိုဂရမ်မာ မျှော်လင့်ထားသည့် လုပ်ဆောင်မှု၏ ယုတ္တိနှင့် အတိအကျ မဟုတ်နိုင်ပါ။

သတိပေးချက် N5

ခွဲခြမ်းစိတ်ဖြာသူ သတိပေးချက်- V3123 [CWE-783] '?:' အော်ပရေတာသည် မျှော်လင့်ထားသည်ထက် ကွဲပြားသောနည်းလမ်းဖြင့် အလုပ်လုပ်နိုင်သည်။ ၎င်း၏အခြေအနေအရ ၎င်း၏ဦးစားပေးသည် အခြားအော်ပရေတာများ၏ ဦးစားပေးထက် နိမ့်သည်။ Options.cs 1019

private static string GetArgumentName (...., string description)
{
  string[] nameStart;
  if (maxIndex == 1)
  {
    nameStart = new string[]{"{0:", "{"};
  }
  else
  {
    nameStart = new string[]{"{" + index + ":"};
  }
  for (int i = 0; i < nameStart.Length; ++i) 
  {
    int start, j = 0;
    do 
    {
      start = description.IndexOf (nameStart [i], j);
    } 
    while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false);
    ....
    return maxIndex == 1 ? "VALUE" : "VALUE" + (index + 1);
  }
}

ရောဂါရှာဖွေရေးသည် လိုင်းအတွက် အလုပ်လုပ်သည်-

while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false)

variable ကစလို့ j အထက်ဖော်ပြပါ လိုင်းအနည်းငယ်ကို သုညသို့ အစပြုပြီး ternary operator မှ တန်ဖိုးကို ပြန်ပေးပါမည်။ မမှန်သော. ဤအခြေအနေကြောင့်၊ loop ၏ကိုယ်ထည်ကို တစ်ကြိမ်သာ လုပ်ဆောင်မည်ဖြစ်သည်။ ဒီကုဒ်အပိုင်းအစက ပရိုဂရမ်မာ ရည်ရွယ်ထားတဲ့အတိုင်း အလုပ်မလုပ်ဘူးလို့ ယူဆပါတယ်။

သတိပေးချက် N6

ခွဲခြမ်းစိတ်ဖြာသူ သတိပေးချက်- V3022 [CWE-571] ဖော်ပြချက် 'installedPackageVersions.Count != 1' သည် အမြဲတမ်း မှန်ပါသည်။ NugetService.cs 1405

private void remove_nuget_cache_for_package(....)
{
  if (!config.AllVersions && installedPackageVersions.Count > 1)
  {
    const string allVersionsChoice = "All versions";
    if (installedPackageVersions.Count != 1)
    {
      choices.Add(allVersionsChoice);
    }
    ....
  }
  ....
}

ဤနေရာတွင် ထူးဆန်းသော အသိုက်အမြုံတစ်ခု ရှိပါသည်။ installPackageVersions.Count != ၁အမြဲတမ်းဖြစ်လိမ့်မည်။ စစ်မှန်တဲ့. မကြာခဏ ထိုသတိပေးချက်သည် ကုဒ်တွင် ယုတ္တိတန်သော အမှားကို ညွှန်ပြပြီး အခြားကိစ္စများတွင် မလိုအပ်ဘဲ စစ်ဆေးခြင်းကို ရိုးရှင်းစွာ ဖော်ပြသည်။

သတိပေးချက် N7

ခွဲခြမ်းစိတ်ဖြာသူ သတိပေးချက်- V3001 'commandArguments.contains("-apikey")' ၏ ဘယ်ဘက်နှင့် '||' ၏ ညာဘက်တွင် တူညီသောအသုံးအနှုန်းခွဲများ ရှိပါသည်။ အော်ပရေတာ။ ArgumentsUtility.cs ၄၂

public static bool arguments_contain_sensitive_information(string
 commandArguments)
{
  return commandArguments.contains("-install-arguments-sensitive")
  || commandArguments.contains("-package-parameters-sensitive")
  || commandArguments.contains("apikey ")
  || commandArguments.contains("config ")
  || commandArguments.contains("push ")
  || commandArguments.contains("-p ")
  || commandArguments.contains("-p=")
  || commandArguments.contains("-password")
  || commandArguments.contains("-cp ")
  || commandArguments.contains("-cp=")
  || commandArguments.contains("-certpassword")
  || commandArguments.contains("-k ")
  || commandArguments.contains("-k=")
  || commandArguments.contains("-key ")
  || commandArguments.contains("-key=")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key");
}

ဒီကုဒ်အပိုင်းကိုရေးတဲ့ ပရိုဂရမ်မာက နောက်ဆုံးစာကြောင်းနှစ်ကြောင်းကို ကူးယူပြီး တည်းဖြတ်ဖို့ မေ့သွားခဲ့တယ်။ ထို့အတွက်ကြောင့် Chocolatey အသုံးပြုသူများသည် ကန့်သတ်ဘောင်ကို အသုံးပြု၍မရပါ။ apikey နောက်ထပ်နည်းလမ်းနှစ်ခု။ အထက်ဖော်ပြပါ ကန့်သတ်ချက်များကဲ့သို့ပင်၊ ကျွန်ုပ်သည် အောက်ပါရွေးချယ်စရာများကို ပေးနိုင်သည်-

commandArguments.contains("-apikey=");
commandArguments.contains("-api-key=");

ကော်ပီကူးထည့်ထားသော အမှားများသည် အရင်းအမြစ်ကုဒ်များစွာရှိသော မည်သည့်ပရောဂျက်တွင်မဆို မကြာမီ သို့မဟုတ် နောက်ပိုင်းတွင် ပေါ်လာနိုင်ခြေ မြင့်မားပြီး ၎င်းတို့ကို တိုက်ဖျက်ရန် အကောင်းဆုံးကိရိယာများထဲမှတစ်ခုမှာ တည်ငြိမ်မှုဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုဖြစ်သည်။

PS အမြဲလိုလို၊ ဒီ error ဟာ multi-line condition တစ်ခုရဲ့အဆုံးမှာ ပေါ်လာတတ်ပါတယ် :) စာစောင်ကိုကြည့်ပါ"နောက်ဆုံးစာကြောင်းအကျိုးသက်ရောက်မှု".

သတိပေးချက် N8

ခွဲခြမ်းစိတ်ဖြာသူ သတိပေးချက်- V3095 [CWE-476] null နှင့် မစစ်ဆေးမီ 'installedPackage' အရာဝတ္တုကို အသုံးပြုခဲ့သည်။ လိုင်းများကို စစ်ဆေးပါ- 910, 917. NugetService.cs 910

public virtual ConcurrentDictionary<string, PackageResult> get_outdated(....)
{
  ....
  var pinnedPackageResult = outdatedPackages.GetOrAdd(
    packageName, 
    new PackageResult(installedPackage, 
                      _fileSystem.combine_paths(
                        ApplicationParameters.PackagesLocation, 
                        installedPackage.Id)));
  ....
  if (   installedPackage != null
      && !string.IsNullOrWhiteSpace(installedPackage.Version.SpecialVersion) 
      && !config.UpgradeCommand.ExcludePrerelease)
  {
    ....
  }
  ....
}

ဂန္တဝင်အမှား- ပထမအရာ ထည့်သွင်းထားသော Package သုံးပြီးတော့ စစ်ဆေးတယ်။ တရားမဝင်သော. ဤရောဂါရှာဖွေမှုသည် ပရိုဂရမ်ရှိ ပြဿနာနှစ်ခုအနက်မှ တစ်ခုကို ပြောပြသည်- ထည့်သွင်းထားသော Package ဘယ်တော့မှ မညီမျှဘူး။ တရားမဝင်သောသံသယဖြစ်ဖွယ်ရှိပြီး ချက်လက်မှတ်သည် မလိုအပ်တော့သည် သို့မဟုတ် ကျွန်ုပ်တို့သည် ကုဒ်တွင် ဆိုးရွားသော အမှားအယွင်းတစ်ခုကို ရရှိနိုင်သည် - null ရည်ညွှန်းချက်ကို ရယူရန် ကြိုးပမ်းမှု။

ကောက်ချက်

ထို့ကြောင့် ကျွန်ုပ်တို့သည် နောက်ထပ်ခြေလှမ်းသေးသေးတစ်ခုကို လှမ်းပြီးပါပြီ - ယခု PVS-Studio ကိုအသုံးပြုခြင်းသည် ပို၍ပင်လွယ်ကူပြီး ပိုမိုအဆင်ပြေလာပါသည်။ Chocolatey သည် PVS-Studio ကိုအသုံးပြုရာတွင် အနည်းငယ်မျှသာရှိနိုင်သည့် ကုဒ်တွင် အမှားအယွင်းအနည်းငယ်ပါသည့် ကောင်းမွန်သော ပက်ကေ့ဂျ်မန်နေဂျာဖြစ်ကြောင်းလည်း ကျွန်တော်ပြောလိုပါသည်။

ဖိတ်ခေါ်ပါတယ်။ скачать PVS-Studio ကိုစမ်းကြည့်ပါ။ ပုံသဏ္ဍာန်ခွဲခြမ်းစိတ်ဖြာမှုအား ပုံမှန်အသုံးပြုခြင်းဖြင့် သင့်အဖွဲ့မှ ဖန်တီးထားသော ကုဒ်များ၏ အရည်အသွေးနှင့် ယုံကြည်စိတ်ချရမှုကို တိုးတက်စေပြီး အများအပြားကို ဟန့်တားနိုင်စေပါသည်။ zero day အားနည်းချက်များ.

PS

မထုတ်ဝေမီ၊ ကျွန်ုပ်တို့သည် ဆောင်းပါးကို Chocolatey developer များထံ ပေးပို့ခဲ့ပြီး ၎င်းတို့သည် ၎င်းကို ကောင်းမွန်စွာ လက်ခံရရှိခဲ့သည်။ ကျွန်ုပ်တို့သည် အရေးကြီးသည့်အရာတစ်ခုမျှမတွေ့ခဲ့ရသော်လည်း၊ ဥပမာအားဖြင့်၊ ၎င်းတို့သည် "api-key" သော့နှင့်သက်ဆိုင်သည့် ကျွန်ုပ်တို့တွေ့ရှိသည့် bug ကို သဘောကျကြသည်။

ဤဆောင်းပါးကို အင်္ဂလိပ်စကားပြော ပရိသတ်နှင့် မျှဝေလိုပါက၊ ဘာသာပြန်လင့်ခ်- Vladislav Stolyarov ကို အသုံးပြုပါ။ PVS-Studio ယခု Chocolatey တွင်ရှိသည်- Azure DevOps အောက်တွင် Chocolatey ကိုစစ်ဆေးနေသည်.

source: www.habr.com