🙅🏻 👩🏾‍🚒 👩🏻‍🔬 PVS-Studio अब चॉकलेटरी में है: Azure DevOps से चॉकलेट की जाँच 👨🏾‍🍳 🐚 🗼

हम पीवीएस-स्टूडियो का उपयोग करना अधिक सुविधाजनक बनाना जारी रखते हैं। हमारे विश्लेषक अब चॉकलेट में उपलब्ध हैं, जो विंडोज के लिए पैकेज मैनेजर है। हमारा मानना है कि यह पीवीएस-स्टूडियो की तैनाती की सुविधा प्रदान करेगा, विशेष रूप से, क्लाउड सेवाओं में। बहुत दूर नहीं जाने के लिए, उसी चॉकलेट के स्रोत कोड की जांच करें। CI सिस्टम Azure DevOps होगा।

यहाँ बादल एकीकरण पर हमारे अन्य लेखों की एक सूची दी गई है:

मैं आपको सलाह देता हूं कि एज़्योर देवो के साथ एकीकरण के बारे में पहले लेख पर ध्यान दें, क्योंकि इस मामले में कुछ बिंदुओं को छोड़ दिया जाता है ताकि नकल न हो।

तो, इस लेख के नायक:

पीवीएस-स्टूडियो एक स्थिर कोड विश्लेषण उपकरण है जिसे सी, सी ++, सी # और जावा में लिखे गए कार्यक्रमों में त्रुटियों और संभावित कमजोरियों का पता लगाने के लिए डिज़ाइन किया गया है। यह विंडोज, लिनक्स और मैकओएस पर 64-बिट सिस्टम पर काम करता है, और 32-बिट, 64-बिट और एम्बेडेड एआरएम प्लेटफार्मों के लिए डिज़ाइन किए गए कोड का विश्लेषण कर सकता है। यदि यह आपकी परियोजनाओं को सत्यापित करने के लिए पहली बार स्थिर कोड विश्लेषण की कोशिश कर रहा है, तो हम अनुशंसा करते हैं कि आप इस लेख को जल्दी से सबसे दिलचस्प पीवीएस-स्टूडियो अलर्ट कैसे देखें और इस टूल की क्षमताओं का मूल्यांकन करें।

Azure DevOps- क्लाउड सेवाओं का एक समूह, संयुक्त रूप से संपूर्ण विकास प्रक्रिया को कवर करता है। मंच में एज़्योर पाइपलाइन, एज़्योर बोर्ड, एज़्योर कलाकृतियों, एज़्योर रिपोज़, एज़्योर टेस्ट प्लान जैसे उपकरण शामिल हैं, जो सॉफ्टवेयर बनाने की प्रक्रिया को तेज करते हैं और इसकी गुणवत्ता में सुधार करते हैं।

Chocolatey विंडोज के लिए एक ओपन सोर्स पैकेज मैनेजर है। परियोजना का लक्ष्य विंडोज ऑपरेटिंग सिस्टम पर अपडेट और अनइंस्टॉल करने के लिए इंस्टॉलेशन से पूरे सॉफ्टवेयर जीवन चक्र को स्वचालित करना है।

चॉकलेट का उपयोग करने के बारे में

आप देख सकते हैं कि इस लिंक से पैकेज मैनेजर कैसे स्थापित किया जाए । विश्लेषक की स्थापना पर पूर्ण प्रलेखन "चॉकलेट पैकेज प्रबंधक का उपयोग करके स्थापना" अनुभाग में लिंक पर उपलब्ध है । मैं वहां से कुछ बिंदुओं को संक्षेप में दोहराऊंगा।

नवीनतम विश्लेषक संस्करण को स्थापित करने की कमान:

choco install pvs-studio

PVS-Studio पैकेज का एक विशिष्ट संस्करण स्थापित करने का आदेश:

choco install pvs-studio --version=7.05.35617.2075

डिफ़ॉल्ट रूप से, केवल विश्लेषक कोर स्थापित किया गया है - कोर घटक। अन्य सभी झंडे (स्टैंडअलोन, जावाकोर, आईडिया, MSVS2010, MSVS2012, MSVS2013, MSVS2015, MSVS2017, MSVS2019) को 'पैकेजेज-पैरामीटर्स' का उपयोग करके पास किया जा सकता है।

दृश्य स्टूडियो 2019 के लिए प्लग-इन के साथ विश्लेषक स्थापित करने वाले कमांड का एक उदाहरण:

choco install pvs-studio --package-parameters="'/MSVS2019'"

अब आइए एज़्योर देवओप्स के तहत विश्लेषक के सुविधाजनक उपयोग का एक उदाहरण देखें।

अनुकूलन

मैं आपको याद दिलाता हूं कि इस तरह के मुद्दों के बारे में एक अलग लेख है जिसमें एक खाता पंजीकृत करना, एक बिल्ड पाइपलाइन बनाना, और गिटहब पर भंडार में एक परियोजना के साथ एक खाते को सिंक्रनाइज़ करना है । कॉन्फ़िगरेशन फ़ाइल लिखकर हमारा सेटअप तुरंत शुरू हो जाएगा।

सबसे पहले, ट्रिगर को ट्रिगर करने के लिए कॉन्फ़िगर करें, यह दर्शाता है कि हम केवल मास्टर शाखा में परिवर्तन के लिए चलते हैं :

trigger:
- master

अगला, हमें एक वर्चुअल मशीन चुनने की आवश्यकता है। फिलहाल, यह माइक्रोसॉफ्ट-होस्टेड एजेंट होगा जिसमें विंडोज सर्वर 2019 और विजुअल स्टूडियो 2019 होगा:

pool:
  vmImage: 'windows-latest'

चलो कॉन्फ़िगरेशन फ़ाइल ( चरण ब्लॉक ) के शरीर पर चलते हैं । इस तथ्य के बावजूद कि आभासी मशीन में मनमाना सॉफ़्टवेयर स्थापित नहीं किया जा सकता है, मैंने डॉकर कंटेनर नहीं जोड़ा। हम Azure DevOps के विस्तार के रूप में Chocolatey जोड़ सकते हैं। ऐसा करने के लिए, लिंक पर क्लिक करें । इसे मुफ़्त प्राप्त करें पर क्लिक करें । इसके अलावा, यदि आप पहले से ही अधिकृत हैं, तो बस अपना खाता चुनें, और यदि नहीं, तो प्राधिकरण के बाद ही करें।

यहां आपको यह चुनने की आवश्यकता है कि हम एक्सटेंशन कहां जोड़ेंगे, और इंस्टॉल बटन पर क्लिक करें ।

एक सफल स्थापना के बाद, संगठन में आगे बढ़ें पर क्लिक करें :

अब आप कार्य विंडो में चॉकलेट कार्य के लिए टेम्पलेट देख सकते हैं जब azure-pipelines.yml कॉन्फ़िगरेशन फ़ाइल संपादित करें :

Chocolatey पर क्लिक करें और खेतों की एक सूची देखें:

यहां हमें कमांड क्षेत्र में इंस्टॉल का चयन करने की आवश्यकता है । में Nuspec फ़ाइल नाम, पी वी एस स्टूडियो - वांछित पैकेज का नाम निर्दिष्ट करें। यदि आप एक संस्करण निर्दिष्ट नहीं करते हैं, तो बाद को स्थापित किया जाएगा, जो पूरी तरह से हमें सूट करता है। ऐड बटन पर क्लिक करें और कॉन्फ़िगरेशन फ़ाइल में गठित कार्य देखें।

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

अगला, हमारी फ़ाइल के मुख्य भाग पर चलते हैं:

- task: CmdLine@2
  inputs:
    script:

अब हमें विश्लेषक लाइसेंस के साथ एक फ़ाइल बनाने की आवश्यकता है। यहां PVSNAME और PVSKEY उन चर के नाम हैं जिनके मूल्य हम सेटिंग्स में निर्दिष्ट करते हैं। वे पीवीएस-स्टूडियो लॉगिन और लाइसेंस कुंजी को संग्रहीत करेंगे। उनके मूल्यों को निर्धारित करने के लिए, मेनू चर -> नया चर खोलें । विश्लेषक कुंजी के लिए लॉगिन और PVSKEY के लिए PVSNAME चर बनाएं । PVSKEY के लिए इस मान को गुप्त रखें चेकबॉक्स को याद रखें । टीम कोड:

all "C:\Program Files (x86)\PVS-Studio\PVS-Studio_Cmd.exe" credentials 
–u $(PVSNAME) –n $(PVSKEY)

चलो रिपोजिटरी में पड़ी बैट-फाइल का उपयोग करके प्रोजेक्ट का निर्माण करते हैं:

all build.bat

एक फ़ोल्डर बनाएँ जहाँ विश्लेषक काम के परिणामों वाली फाइलें झूठ बोलेंगे:

all mkdir PVSTestResults

प्रोजेक्ट विश्लेषण चलाएं:

all "C:\Program Files (x86)\PVS-Studio\PVS-Studio_Cmd.exe" 
–t .\src\chocolatey.sln –o .\PVSTestResults\Choco.plog

हम अपनी रिपोर्ट को Plogonverter उपयोगिता का उपयोग करके HTML प्रारूप में परिवर्तित करते हैं:

all "C:\Program Files (x86)\PVS-Studio\PlogConverter.exe" 
–t html –o \PVSTestResults\ .\PVSTestResults\Choco.plog

अब आपको एक कार्य बनाने की आवश्यकता है ताकि आप रिपोर्ट अपलोड कर सकें।

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

पूर्ण कॉन्फ़िगरेशन फ़ाइल इस तरह दिखती है:

trigger:
- master

pool:
  vmImage: 'windows-latest'

steps:
- task: ChocolateyCommand@0
  inputs:
    command: 'install'
    installPackageId: 'pvs-studio'

- task: CmdLine@2
  inputs:
    script: |
      call "C:\Program Files (x86)\PVS-Studio\PVS-Studio_Cmd.exe" 
      credentials –u $(PVSNAME) –n $(PVSKEY)
      call build.bat
      call mkdir PVSTestResults
      call "C:\Program Files (x86)\PVS-Studio\PVS-Studio_Cmd.exe" 
      –t .\src\chocolatey.sln –o .\PVSTestResults\Choco.plog
      call "C:\Program Files (x86)\PVS-Studio\PlogConverter.exe" 
      –t html –o .\PVSTestResults\ .\PVSTestResults\Choco.plog

- task: PublishBuildArtifacts@1
  inputs:
    pathToPublish: PVSTestResults
    artifactName: PVSTestResults
    condition: always()

कार्य प्रारंभ करने के लिए सहेजें-> सहेजें-> पर क्लिक करें । कार्य टैब पर जाकर रिपोर्ट को अनलोड करें।

चॉकलेटी प्रोजेक्ट में C # कोड की कुल 37,615 लाइनें शामिल हैं। कुछ त्रुटियों पर विचार करें।

मान्यता परिणाम

चेतावनी N1

विश्लेषक चेतावनी: V3005 'प्रदाता' चर खुद को सौंपा गया है। क्रेटपोहाशप्रॉइडरसाइसेप्स 38

public abstract class CrytpoHashProviderSpecsBase : TinySpec
{
  ....
  protected CryptoHashProvider Provider;
  ....
  public override void Context()
  {
    Provider = Provider = new CryptoHashProvider(FileSystem.Object);
  }
}

विश्लेषक ने खुद को एक चर का असाइनमेंट पाया, जिसका कोई मतलब नहीं है। सबसे अधिक संभावना है, इनमें से एक चर के स्थान पर कुछ अन्य होना चाहिए। खैर, या यह एक टाइपो है, और अनावश्यक असाइनमेंट को बस हटाया जा सकता है।

चेतावनी N2

विश्लेषक चेतावनी: V3093 [CWE-480] 'और' ऑपरेटर दोनों ऑपरेंड का मूल्यांकन करता है। इसके बजाय शायद शॉर्ट-सर्किट 'और&' ऑपरेटर का उपयोग किया जाना चाहिए। प्लेटफार्म .cs 64

public static PlatformType get_platform()
{
  switch (Environment.OSVersion.Platform)
  {
    case PlatformID.MacOSX:
    {
      ....
    }
    case PlatformID.Unix:
    if(file_system.directory_exists("/Applications")
      & file_system.directory_exists("/System")
      & file_system.directory_exists("/Users")
      & file_system.directory_exists("/Volumes"))
      {
        return PlatformType.Mac;
      }
        else
          return PlatformType.Linux;
    default:
      return PlatformType.Windows;
  }
}

के बीच का अंतर और ऑपरेटर और && ऑपरेटर है कि अगर अभिव्यक्ति की बाईं ओर है झूठे , तो दाईं ओर अभी भी गणना की जाएगी, इस मामले में करने के लिए अतिरिक्त कॉल का तात्पर्य जो system.directory_exists विधि ।

इस टुकड़े में, यह एक मामूली दोष है। हां, इस स्थिति को && ऑपरेटर के साथ & ऑपरेटर को बदलकर अनुकूलित किया जा सकता है, लेकिन व्यावहारिक दृष्टिकोण से, यह कुछ भी प्रभावित नहीं करता है। हालांकि, अन्य मामलों में, & && के बीच भ्रम की स्थिति गंभीर समस्याएं पैदा कर सकती है जब अभिव्यक्ति का सही पक्ष गलत / अमान्य मानों के साथ काम करेगा। उदाहरण के लिए, V3093 निदानकर्ता द्वारा पाई गई त्रुटियों के हमारे संग्रह में , ऐसा एक मामला है:

if ((k < nct) & (s[k] != 0.0))

भले ही इंडेक्स k गलत हो, लेकिन इसका उपयोग एरे तत्व को एक्सेस करने के लिए किया जाएगा। परिणामस्वरूप, एक IndexOutOfRangeException को फेंक दिया जाएगा ।

चेतावनियाँ N3, N4

विश्लेषक चेतावनी: V3022 [CWE-571] अभिव्यक्ति 'शॉर्टप्रॉप्ट' हमेशा सच होती है। इंटरएक्टिवप्रोम्प्ट्स। 101
एनालाइज़र चेतावनी: V3022 [CWE-571] अभिव्यक्ति 'शॉर्टप्रॉप्ट' हमेशा सच होती है। इंटरएक्टिवप्रॉप्ट्स। 105

public static string 
prompt_for_confirmation(.... bool shortPrompt = false, ....)
{
  ....
  if (shortPrompt)
  {
    var choicePrompt = choice.is_equal_to(defaultChoice) //1
    ?
    shortPrompt //2
    ?
    "[[{0}]{1}]".format_with(choice.Substring(0, 1).ToUpperInvariant(), //3
    choice.Substring(1,choice.Length - 1))
    :
    "[{0}]".format_with(choice.ToUpperInvariant()) //0
    : 
    shortPrompt //4
    ? 
    "[{0}]{1}".format_with(choice.Substring(0,1).ToUpperInvariant(), //5
    choice.Substring(1,choice.Length - 1)) 
    :
    choice; //0
    ....
  }
  ....
}

इस मामले में, टर्नेरी ऑपरेटर का एक अजीब तर्क है। आइए एक करीब से देखें: यदि नंबर 1 द्वारा चिह्नित शर्त पूरी हो गई है, तो हम स्थिति 2 पर जाते हैं, जो हमेशा सत्य होती है , जिसका अर्थ है कि पंक्ति 3 संतुष्ट है। यदि शर्त 1 झूठी हो जाती है, तो हम नंबर 4 द्वारा चिह्नित लाइन पर जाते हैं, वह स्थिति भी जिसमें हमेशा सच होता है , जिसका अर्थ है कि लाइन 5 को निष्पादित किया जाता है। इस प्रकार, टिप्पणी 0 के साथ चिह्नित शर्तों को कभी पूरा नहीं किया जाएगा, जो प्रोग्रामर द्वारा अपेक्षित कार्य का तर्क नहीं हो सकता है।

चेतावनी N5

विश्लेषक चेतावनी: V3123[CWE-783] शायद '?:' ऑपरेटर अपेक्षा के अनुरूप काम करता है। इसकी प्राथमिकता इसकी स्थिति में अन्य ऑपरेटरों की प्राथमिकता से कम है। Options.cs 1019

private static string GetArgumentName (...., string description)
{
  string[] nameStart;
  if (maxIndex == 1)
  {
    nameStart = new string[]{"{0:", "{"};
  }
  else
  {
    nameStart = new string[]{"{" + index + ":"};
  }
  for (int i = 0; i < nameStart.Length; ++i) 
  {
    int start, j = 0;
    do 
    {
      start = description.IndexOf (nameStart [i], j);
    } 
    while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false);
    ....
    return maxIndex == 1 ? "VALUE" : "VALUE" + (index + 1);
  }
}

डायग्नोस्टिक्स ने एक लाइन पर काम किया:

while (start >= 0 && j != 0 ? description [j++ - 1] == '{' : false)

चूँकि चर j को ऊपर की कई रेखाओं पर शून्य किया गया है, इसलिए टर्नरी ऑपरेटर गलत वापस आ जाएगा । इस स्थिति के कारण, लूप बॉडी केवल एक बार निष्पादित होगी। यह मुझे लगता है कि कोड का यह टुकड़ा बिल्कुल भी काम नहीं करता है जैसा कि प्रोग्रामर का इरादा है।

चेतावनी एन 6

एनालाइज़र चेतावनी: V3022 [CWE-571] अभिव्यक्ति ' स्थापितपैकेजवेशन.काउंट ! = 1' हमेशा सच होता है। NugetService.cs 1405

private void remove_nuget_cache_for_package(....)
{
  if (!config.AllVersions && installedPackageVersions.Count > 1)
  {
    const string allVersionsChoice = "All versions";
    if (installedPackageVersions.Count != 1)
    {
      choices.Add(allVersionsChoice);
    }
    ....
  }
  ....
}

यहाँ एक अजीब नेस्टेड स्थिति है: इंस्टॉलपैकेज वीर्सियन.काउंट ! = 1 , जो हमेशा सच होगा । अक्सर, इस तरह की चेतावनी कोड में एक तार्किक त्रुटि का संकेत देती है, और अन्य मामलों में, बस एक अनावश्यक जांच।

चेतावनी N7

विश्लेषक चेतावनी: V3001 समरूप उप अभिव्यक्ति कर रहे हैं 'commandArguments.contains ( "- apikey")' बाईं ओर और '||' के अधिकार के लिए ऑपरेटर। तर्क

public static bool arguments_contain_sensitive_information(string
 commandArguments)
{
  return commandArguments.contains("-install-arguments-sensitive")
  || commandArguments.contains("-package-parameters-sensitive")
  || commandArguments.contains("apikey ")
  || commandArguments.contains("config ")
  || commandArguments.contains("push ")
  || commandArguments.contains("-p ")
  || commandArguments.contains("-p=")
  || commandArguments.contains("-password")
  || commandArguments.contains("-cp ")
  || commandArguments.contains("-cp=")
  || commandArguments.contains("-certpassword")
  || commandArguments.contains("-k ")
  || commandArguments.contains("-k=")
  || commandArguments.contains("-key ")
  || commandArguments.contains("-key=")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key")
  || commandArguments.contains("-apikey")
  || commandArguments.contains("-api-key");
}

प्रोग्रामर जिन्होंने इस कोड ऑफ़ कोड को लिखा था उन्होंने अंतिम दो लाइनों की प्रतिलिपि बनाई और उन्हें संपादित करना भूल गए। इस वजह से, चॉकलेटी उपयोगकर्ताओं ने एक दूसरे तरीके से एपिक पैरामीटर को लागू करने की क्षमता खो दी है। ऊपर दिए गए मापदंडों के समान, मैं ऐसे विकल्प पेश कर सकता हूं:

commandArguments.contains("-apikey=");
commandArguments.contains("-api-key=");

कॉपी-पेस्ट त्रुटियों में बहुत जल्दी या बाद में किसी भी प्रोजेक्ट में बहुत सारे स्रोत कोड के साथ दिखाई देने की संभावना होती है, और उनसे निपटने के सर्वोत्तम तरीकों में से एक स्थैतिक विश्लेषण है।

PS और हमेशा की तरह, यह त्रुटि एक बहु-पंक्ति स्थिति के अंत में दिखाई देती है :)। प्रकाशन " अंतिम पंक्ति का प्रभाव " देखें ।

चेतावनी N8

विश्लेषक चेतावनी: V3095 [CWE-476] नल के खिलाफ सत्यापित होने से पहले ' इंस्टॉलपैकेज ' ऑब्जेक्ट का उपयोग किया गया था। चेक लाइनें: 910, 917. नगेटसेवा। 910

public virtual ConcurrentDictionary<string, PackageResult> get_outdated(....)
{
  ....
  var pinnedPackageResult = outdatedPackages.GetOrAdd(
    packageName, 
    new PackageResult(installedPackage, 
                      _fileSystem.combine_paths(
                        ApplicationParameters.PackagesLocation, 
                        installedPackage.Id)));
  ....
  if (   installedPackage != null
      && !string.IsNullOrWhiteSpace(installedPackage.Version.SpecialVersion) 
      && !config.UpgradeCommand.ExcludePrerelease)
  {
    ....
  }
  ....
}

क्लासिक त्रुटि: पहले, इंस्टॉलपैक ऑब्जेक्ट का उपयोग किया जाता है, और फिर इसे शून्य के लिए जांचा जाता है । यह निदान हमें कार्यक्रम में दो समस्याओं में से एक बताता है: या तो इंस्टॉलपैकेज कभी भी अशक्त नहीं है , जो संदिग्ध है, और फिर चेक बेमानी है, या हम संभावित रूप से कोड में एक गंभीर त्रुटि प्राप्त कर सकते हैं - एक अशक्त लिंक के माध्यम से पहुंचने का प्रयास।

निष्कर्ष

इसलिए हमने एक और छोटा कदम उठाया - अब पीवीएस-स्टूडियो का उपयोग करना और भी आसान और सुविधाजनक हो गया है। मैं यह भी कहना चाहता हूं कि कोड में त्रुटियों की एक छोटी संख्या के साथ चॉकलेट एक अच्छा पैकेज प्रबंधक है, जो पीवीएस-स्टूडियो का उपयोग करते समय और भी कम हो सकता है।

हम आपको पीवीएस-स्टूडियो डाउनलोड करने और प्रयास करने के लिए आमंत्रित करते हैं । एक स्थिर विश्लेषक के नियमित उपयोग से आपकी टीम द्वारा विकसित कोड की गुणवत्ता और विश्वसनीयता में सुधार होगा और कई शून्य-दिन कमजोरियों को रोकने में मदद मिलेगी ।

पुनश्च

प्रकाशन से पहले, हमने चॉकलेटी डेवलपर्स को लेख भेजा, और उन्होंने इसे अच्छी तरह से स्वीकार किया। हमें कुछ भी महत्वपूर्ण नहीं मिला, लेकिन, उदाहरण के लिए, हमें एपी-की से संबंधित त्रुटि मिली।

यदि आप इस लेख को अंग्रेजी बोलने वाले दर्शकों के साथ साझा करना चाहते हैं, तो कृपया अनुवाद के लिंक का उपयोग करें: व्लादिस्लाव स्टोलारोव। PVS-Studio अब चॉकलेट में है: Azure DevOps के तहत चॉकलेट की जाँच करना ।

PVS-Studio अब चॉकलेटरी में है: Azure DevOps से चॉकलेट की जाँच

चॉकलेट का उपयोग करने के बारे में

अनुकूलन

मान्यता परिणाम

निष्कर्ष

पुनश्च

More articles: