🚽 🔌 👉🏿 Zephyr ऑपरेटिंग सिस्टम की कोड गुणवत्ता की खोज 🏬 ⛹🏻 🙀

हमने हाल ही में कहा था कि PVS-Studio कोड एनालाइज़र को PlatformIO के साथ एकीकृत करना शुरू किया। स्वाभाविक रूप से, पीवीएस-स्टूडियो विकास टीम ने प्लेटफ़ोलियो टीम के साथ संवाद किया और उन्होंने सुझाव दिया, हित के लिए, ज़ेफियर रीयल-टाइम ऑपरेटिंग सिस्टम के कोड की जांच कर रहा है। क्यों नहीं, हमने सोचा, और यहां इस तरह के एक अध्ययन के बारे में एक लेख है।

PlatformIO

लेख के मुख्य भाग को शुरू करने से पहले, मैं एम्बेडेड सिस्टम के डेवलपर्स को PlatformIO परियोजना की सिफारिश करना चाहूंगा , जिससे उनका जीवन आसान हो सके। यह एक क्रॉस-प्लेटफ़ॉर्म माइक्रोकंट्रोलर प्रोग्रामिंग टूल है। PlatformIO का कोर एक कमांड-लाइन टूल है, लेकिन इसे विज़ुअल स्टूडियो कोड के लिए प्लग-इन के रूप में उपयोग करने की अनुशंसा की जाती है। बड़ी संख्या में आधुनिक चिप्स और उनके आधार पर मदरबोर्ड समर्थित हैं। यह स्वचालित रूप से उपयुक्त विधानसभा प्रणालियों को डाउनलोड करने में सक्षम है, और साइट में प्लग-इन इलेक्ट्रॉनिक घटकों के प्रबंधन के लिए पुस्तकालयों का एक बड़ा संग्रह है।

पी वी एस-स्टूडियो

पीवीएस-स्टूडियो अभी भी एम्बेडेड सिस्टम की दुनिया में बहुत कम जाना जाता है, इसलिए सिर्फ मामले में, मैं नए पाठकों के लिए एक परिचय दूंगा जो अभी तक इस उपकरण से परिचित नहीं हैं। हमारे नियमित पाठक अगले खंड पर सही छोड़ सकते हैं।

पीवीएस-स्टूडियो एक स्थिर कोड विश्लेषक है जो सी, सी ++, सी # और जावा में लिखे गए कार्यक्रमों के कोड में त्रुटियों और संभावित कमजोरियों का पता लगाने की अनुमति देता है। यदि हम केवल C और C ++ के बारे में बात करते हैं, तो निम्नलिखित संकलक समर्थित हैं:

खिड़कियाँ विज़ुअल स्टूडियो 2010-2019 C, C ++, C ++ / CLI, C ++ / CX (WinRT)
खिड़कियाँ IAR एंबेडेड वर्कबेंच, ARM C, C ++ के लिए C / C ++ कंपाइलर
खिड़कियाँ क्यूएनएक्स मोमेंटिक्स, क्यूसीसी सी, सी ++
विंडोज / लिनक्स काइल ilविज़न, डीएस-एमडीके, एआरएम कंपाइलर 5/6 सी, सी ++
विंडोज / लिनक्स टेक्सास इंस्ट्रूमेंट्स कोड कम्पोज़र स्टूडियो, एआरएम कोड जेनरेशन टूल्स सी, सी ++
Windows/Linux/macOS. GNU Arm Embedded Toolchain, Arm Embedded GCC compiler, C, C++
Windows/Linux/macOS. Clang C, C++
Linux/macOS. GCC C, C++
Windows. MinGW C, C++

विश्लेषक की अपनी चेतावनी वर्गीकरण प्रणाली है , लेकिन यदि आवश्यक हो, तो आप कोडिंग मानकों CWE , SEI CERT , MISRA के अनुसार अलर्ट के प्रदर्शन को सक्षम कर सकते हैं ।

आप बड़ी विरासत परियोजना में भी पीवीएस-स्टूडियो का उपयोग करके नियमित रूप से शुरू कर सकते हैं। इसके लिए सामूहिक दमन के लिए एक विशेष तंत्र प्रदान किया गया है । सभी वर्तमान चेतावनियों को तकनीकी ऋण माना जाता है और छिपाया जाता है, जो आपको केवल नए या संशोधित कोड पर लागू होने वाली चेतावनियों पर ध्यान केंद्रित करने की अनुमति देता है। यह टीम को अपने काम में दैनिक विश्लेषक का उपयोग तुरंत शुरू करने की अनुमति देता है, और आप समय-समय पर तकनीकी ड्यूटी में वापस आ सकते हैं और कोड में सुधार कर सकते हैं।

पीवीएस-स्टूडियो का उपयोग करने के लिए कई अन्य परिदृश्य हैं। उदाहरण के लिए, आप इसे सोनारक्यूब के प्लगइन के रूप में उपयोग कर सकते हैं। ट्रैविस सीआई, सर्कलसीआई, गिटलैब सीआई / सीडी, आदि जैसी प्रणालियों के साथ एकीकरण संभव है। पीवीएस-स्टूडियो का अधिक विस्तृत विवरण इस लेख के दायरे से परे है। इसलिए, मैं अपने आप को लेख के साथ परिचित करने का प्रस्ताव करता हूं, जिसमें कई उपयोगी लिंक हैं, और जो कई सवालों के जवाब देता है: " पीवीएस-स्टूडियो स्थिर कोड विश्लेषक को विकास प्रक्रिया में पेश करने के कारण ।"

हलकी हवा

प्‍लेटफॉर्म में पीवीएस-स्‍टूडियो के एकीकरण पर काम करते हुए , हमारी टीमों ने बात की और उनसे एंबेडेड दुनिया के एक प्रॉजेक्ट की जांच करने को कहा गया, जिसका नाम था जेफायर। हमें यह विचार पसंद आया, जो इस लेख को लिखने का कारण था।

Zephyr एक हल्का वास्तविक समय ऑपरेटिंग सिस्टम है जिसे विभिन्न आर्किटेक्चर के सीमित संसाधनों वाले उपकरणों पर काम करने के लिए डिज़ाइन किया गया है। कोड ओपन सोर्स अपाचे 2.0 लाइसेंस के तहत वितरित किया जाता है। निम्नलिखित प्लेटफ़ॉर्म पर काम करता है: ARM (Cortex-M0, Cortex-M3, Cortex-M4, Cortex-M23, Cortex-M33, Cortex-R4, Cortex-R5, Cortex-A53), x86, x86-64, ARC, RISC- वी, एनआईओएस II, Xtensa।

कुछ सुविधाएं:

एकीकृत पता स्थान। कस्टम कर्नेल के साथ संयोजन में विशिष्ट एप्लिकेशन कोड एक अखंड छवि बनाता है जिसे डिवाइस पर निष्पादित किया जाता है।
. , .
. .
. . .
: , , , , .

हमारे लिए दिलचस्प क्षणों में से, Synopsys ऑपरेटिंग सिस्टम के विकास में शामिल है । 2014 में, Synopsys ने कवरिटी का अधिग्रहण किया, जिसने इसी नाम के स्थिर कोड विश्लेषक का उत्पादन किया।

यह केवल स्वाभाविक है कि शुरुआत से ही, Zephyr डेवलपर Coverity विश्लेषक का उपयोग करता है । विश्लेषक एक बाजार नेता है और यह बेहतर के लिए ऑपरेटिंग सिस्टम कोड की गुणवत्ता को प्रभावित नहीं कर सकता है।

Zephyr कोड गुणवत्ता

मेरी राय में, Zephyr ऑपरेटिंग सिस्टम कोड गुणवत्तापूर्ण है। यहाँ मुझे ऐसा सोचने का कारण दिया गया है:

PVS-Studio 122 High 367 Medium. , , 560 C/C++ . . 7810 C/C++ 10075 . , . , , .
. «» , .
SourceMonitor उपयोगिता ने स्रोत कोड का विश्लेषण करते हुए आंकड़े दिए कि 48% कोड टिप्पणी है। यह बहुत कुछ है और मेरे अनुभव में कोड की गुणवत्ता के लिए एक उच्च चिंता का संकेत देता है, अन्य डेवलपर्स के लिए इसकी समझदारी।
किसी परियोजना को विकसित करते समय, एक आवरण स्थिर कोड विश्लेषक का उपयोग किया जाता है। सबसे अधिक संभावना है, इस तथ्य के कारण, पीवीएस-स्टूडियो विश्लेषक, हालांकि इसे परियोजना में त्रुटियां मिलीं, खुद को स्पष्ट रूप से दिखाने में सक्षम नहीं था, जैसा कि कभी-कभी अन्य परियोजनाओं का विश्लेषण करते समय होता है।

इसके आधार पर, मेरा मानना है कि परियोजना के लेखक कोड की गुणवत्ता और विश्वसनीयता की परवाह करते हैं। आइए अब पीवीएस-स्टूडियो विश्लेषक (संस्करण 7.06) द्वारा जारी किए गए कुछ चेतावनियों को देखें।

अर्ध-झूठी चेतावनी

अपने निम्न स्तर के कारण परियोजना कोड, विशेष रूप से और सशर्त संकलन (#ifdef) के साथ काफी लिखा गया है। यह बड़ी संख्या में चेतावनी उत्पन्न करता है जो वास्तविक गलती का संकेत नहीं देते हैं, लेकिन उन्हें केवल झूठ नहीं कहा जा सकता है। इसे कुछ उदाहरणों के साथ स्पष्ट करना आसान होगा।

एक "अर्ध-मिथ्या" अभिनय का एक उदाहरण N1

static struct char_framebuffer char_fb;

int cfb_framebuffer_invert(struct device *dev)
{
  struct char_framebuffer *fb = &char_fb;

  if (!fb || !fb->buf) {
    return -1;
  }

  fb->inverted = !fb->inverted;

  return 0;
}

पीवीएस-स्टूडियो चेतावनी: V560 सशर्त अभिव्यक्ति का एक हिस्सा हमेशा गलत होता है :! एफबी । cfb.c 188

स्थैतिक चर का पता लेते समय, एक गैर-शून्य सूचक हमेशा प्राप्त होता है। इसलिए, सूचक fb हमेशा गैर-शून्य होता है और इसके सत्यापन का कोई मतलब नहीं है।

हालांकि, यह स्पष्ट है कि यह एक त्रुटि नहीं है, लेकिन बस एक अत्यधिक जांच है, जो कोई नुकसान नहीं पहुंचाता है। इसके अलावा, जब रिलीज संस्करण का निर्माण होता है, तो कंपाइलर इसे फेंक देगा, इसलिए यह भी मंदी का कारण नहीं होगा।

इसी तरह का एक मामला, मेरी समझ में, "अर्ध-गलत" विश्लेषक ऑपरेशन की अवधारणा के अंतर्गत आता है। औपचारिक रूप से, विश्लेषक बिल्कुल सही है। और कोड से अतिरिक्त व्यर्थ चेक को हटाने के लिए बेहतर है। हालांकि, यह सब बहुत कम है और इस तरह की चेतावनी लेख के ढांचे में विचार करने के लिए भी दिलचस्प नहीं है।

"अर्ध-मिथ्या" सक्रियण N2 का एक उदाहरण

int hex2char(u8_t x, char *c)
{
  if (x <= 9) {
    *c = x + '0';
  } else if (x >= 10 && x <= 15) {
    *c = x - 10 + 'a';
  } else {
    return -EINVAL;
  }
  return 0;
}

चेतावनी PVS-Studio: V560 सशर्त अभिव्यक्ति का एक हिस्सा हमेशा सच होता है: x> = 10. hex.c 31

विश्लेषक फिर से औपचारिक रूप से सही है कि शर्त का हिस्सा हमेशा सही है। यदि चर x 9 से कम / बराबर नहीं है, तो यह पता चलता है कि यह हमेशा 10 से अधिक / बराबर है। और कोड को सरल बनाया जा सकता है:

} else if (x <= 15) {

एक बार फिर, यह स्पष्ट है कि यहां कोई वास्तविक हानिकारक त्रुटि नहीं है, और अतिरिक्त तुलना सिर्फ कोड की सुंदरता के लिए लिखी गई है।

अब एन 3 के एक और अधिक जटिल उदाहरण पर नजर डालते हैं।

पहले देखते हैं कि CHECKIF मैक्रो को कैसे लागू किया जा सकता है ।

#if defined(CONFIG_ASSERT_ON_ERRORS)
#define CHECKIF(expr) \
  __ASSERT_NO_MSG(!(expr));   \
  if (0)
#elif defined(CONFIG_NO_RUNTIME_CHECKS)
#define CHECKIF(...) \
  if (0)
#else
#define CHECKIF(expr) \
  if (expr)
#endif

परियोजना के संकलन मोड के आधार पर, चेक या तो प्रदर्शन किया जा सकता है या छोड़ दिया जा सकता है। हमारे मामले में, जब पीवीएस-स्टूडियो का उपयोग करके कोड की जाँच की जाती है, तो यह स्थूल कार्यान्वयन चुना गया था:

#define CHECKIF(expr) \
  if (expr)

अब देखते हैं कि इससे क्या होता है।

int k_queue_append_list(struct k_queue *queue, void *head, void *tail)
{
  CHECKIF(head == NULL || tail == NULL) {
    return -EINVAL;
  }

  k_spinlock_key_t key = k_spin_lock(&queue->lock);
  struct k_thread *thread = NULL;
  if (head != NULL) {
    thread = z_unpend_first_thread(&queue->wait_q);
  }
  ....
}

PVS-Studio चेतावनी : V547 [CWE-571] अभिव्यक्ति 'सिर! = NULL' हमेशा सत्य होता है। queue.c 244

विश्लेषक मानता है कि चेकिंग (हेड! = NULL) हमेशा सही होती है। और वास्तव में यह है। यदि हेड पॉइंटर NULL था, तो फ़ंक्शन की शुरुआत में एक चेक के कारण कार्य बंद हो जाएगा:

CHECKIF(head == NULL || tail == NULL) {
  return -EINVAL;
}

स्मरण करो कि यहाँ मैक्रो निम्नानुसार है:

if (head == NULL || tail == NULL) {
  return -EINVAL;
}

तो, पीवीएस-स्टूडियो विश्लेषक अपने दृष्टिकोण से सही है और एक सही चेतावनी जारी करता है। हालाँकि, यह चेक हटाया नहीं जा सकता। उसकी जरूरत है। एक अन्य परिदृश्य में, मैक्रो इस तरह खुलेगा:

if (0) {
  return -EINVAL;
}

और फिर पॉइंटर को दोबारा चेक करने की जरूरत है। बेशक, कोड संकलन के इस संस्करण में विश्लेषक एक चेतावनी उत्पन्न नहीं करेगा। हालाँकि, यह संकलन के डीबग संस्करण के लिए एक चेतावनी देता है।

मुझे उम्मीद है कि अब पाठकों के लिए यह स्पष्ट है कि "अर्ध-गलत" चेतावनियाँ कहाँ से आती हैं। हालांकि, उनके साथ कुछ भी गलत नहीं है। पीवीएस-स्टूडियो विश्लेषक झूठे अलर्ट को दबाने के लिए विभिन्न तंत्र प्रदान करता है, जो प्रलेखन में पाया जा सकता है।

केस की चेतावनी

लेकिन क्या आपको कुछ दिलचस्प लगा? यह एक सफलता थी, और अब हम विभिन्न त्रुटियों को देखेंगे। उसी समय, मैं तुरंत दो बिंदुओं पर ध्यान देना चाहता हूं:

. : , , , Coverity. , PVS-Studio - , .
. , «» . , . GitHub, PVS-Studio.

N1,

static void gen_prov_ack(struct prov_rx *rx, struct net_buf_simple *buf)
{
  ....
  if (link.tx.cb && link.tx.cb) {
    link.tx.cb(0, link.tx.cb_data);
  }
  ....
}

PVS-Studio चेतावनी: V501 [CWE-571] बाईं और '&&' ऑपरेटर के दाईं ओर समान उप-अभिव्यक्तियाँ हैं: link.tx.cb && link.tx.cb pb_adv.c 372

One को डबल चेक किया गया है एक ही चर link.tx.cb । जाहिरा तौर पर, यह एक टाइपो है, और जाँच की जाने वाली दूसरी चर link.tx.cb_data होनी चाहिए ।

Fragment N2, बफ़र को ओवरफ़्लो करते

हुए फ़ंक्शन net_hostname_get पर विचार करें , जिसे बाद में उपयोग किया जाएगा।

#if defined(CONFIG_NET_HOSTNAME_ENABLE)
const char *net_hostname_get(void);
#else
static inline const char *net_hostname_get(void)
{
  return "zephyr";
}
#endif

मेरे मामले में, प्रीप्रोसेसिंग करते समय, #else शाखा से संबंधित विकल्प का चयन किया गया था । यह है कि, प्रीप्रोसेस की गई फ़ाइल में, फंक्शन को इस तरह लागू किया जाता है:

static inline const char *net_hostname_get(void)
{
  return "zephyr";
}

फ़ंक्शन 7 बाइट्स की एक सरणी के लिए एक पॉइंटर लौटाता है (हम लाइन के अंत में टर्मिनल शून्य को ध्यान में रखते हैं)।

अब उस कोड पर विचार करें जो सरणी सीमा से बाहर निकलता है।

static int do_net_init(void)
{
  ....
  (void)memcpy(hostname, net_hostname_get(), MAX_HOSTNAME_LEN);
  ....
}

PVS-Studio चेतावनी: V512 [CWE-119] 'मेमसीपी' फ़ंक्शन के कॉल से 'net_hostname_get ()' बफर सीमा से बाहर हो जाएगा। log_backend_net.c 114

प्रीप्रोसेसिंग के बाद, MAX_HOSTNAME_LEN का विस्तार इस प्रकार है:

(void)memcpy(hostname, net_hostname_get(),
    sizeof("xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx"));

तदनुसार, डेटा की प्रतिलिपि बनाते समय, एक आउट-ऑफ-बाउंड्स स्ट्रिंग शाब्दिक होता है। यह भविष्यवाणी करना मुश्किल है कि यह कार्यक्रम के निष्पादन को कैसे प्रभावित करेगा, क्योंकि इससे अपरिभाषित व्यवहार होता है।

फ्रैगमेंट एन 3, संभावित बफर ओवररन

int do_write_op_json(struct lwm2m_message *msg)
{
  u8_t value[TOKEN_BUF_LEN];
  u8_t base_name[MAX_RESOURCE_LEN];
  u8_t full_name[MAX_RESOURCE_LEN];
  ....
  /* combine base_name + name */
  snprintf(full_name, TOKEN_BUF_LEN, "%s%s", base_name, value);
  ....
}

PVS-Studio चेतावनी: V512 [CWE-119] 'स्नप्रिंट' फ़ंक्शन के कॉल से बफर 'full_name' का अतिप्रवाह होगा। lwm2m_rw_json.c 826

यदि हम स्थूल मानों को प्रतिस्थापित करते हैं, तो जो हो रहा है उसकी तस्वीर इस तरह दिखती है:

u8_t value[64];
u8_t base_name[20];
u8_t full_name[20];
....
snprintf(full_name, 64, "%s%s", base_name, value);

फुल_नाम बफर के तहत केवल 20 बाइट्स आवंटित किए जाते हैं जिसमें स्ट्रिंग का गठन होता है। इस मामले में, जिन हिस्सों से स्ट्रिंग का गठन होता है, वे आकार में 20 और 64 बाइट्स के बफ़र्स में संग्रहीत होते हैं। इसके अलावा, निरंतर 64, स्निप्रफ फ़ंक्शन में चला गया और सरणी को विदेश जाने से रोकने के लिए डिज़ाइन किया गया, जाहिर है कि यह बहुत बड़ा है!

यह कोड आवश्यक रूप से एक बफर अतिप्रवाह के लिए नेतृत्व नहीं करता है। शायद हमेशा भाग्यशाली, और सबस्ट्रिंग हमेशा बहुत छोटे होते हैं। हालांकि, सामान्य तौर पर, यह कोड किसी भी तरह से अतिप्रवाह से सुरक्षित नहीं है और इसमें क्लासिक सुरक्षा दोष CWE-119 है ।

टुकड़ा एन 4, अभिव्यक्ति हमेशा सच है

static int keys_set(const char *name, size_t len_rd, settings_read_cb read_cb,
                    void *cb_arg)
{
  ....
  size_t len;
  ....
  len = read_cb(cb_arg, val, sizeof(val));
  if (len < 0) {
    BT_ERR("Failed to read value (err %zu)", len);
    return -EINVAL;
  }
  ....
}

PVS-Studio चेतावनी : V547 [CWE-570] अभिव्यक्ति 'लेन <0' हमेशा झूठी होती है। अहस्ताक्षरित प्रकार का मान कभी नहीं होता है <0। Keys.c 312 लेन

चर का एक अहस्ताक्षरित प्रकार होता है और इसलिए, 0. से कम नहीं हो सकता है। तदनुसार, त्रुटि स्थिति किसी भी तरह से संसाधित नहीं होती है। अन्य स्थानों पर , read_cb फ़ंक्शन के परिणाम को संग्रहीत करने के लिए int या ssize_t का उपयोग किया जाता है । उदाहरण:

static inline int mesh_x_set(....)
{
 ssize_t len;
 len = read_cb(cb_arg, out, read_len);
 if (len < 0) {
 ....
}

ध्यान दें। सब कुछ read_cb फ़ंक्शन के साथ बुरा लगता है । तथ्य यह है कि यह इस तरह से घोषित किया गया है:

static u8_t read_cb(const struct bt_gatt_attr *attr, void *user_data)

टाइप u8_t एक अहस्ताक्षरित चार्ट है ।

फ़ंक्शन हमेशा अहस्ताक्षरित चार के केवल सकारात्मक संख्या देता है । यदि आप इस मान को किसी प्रकार के int या ssize_t के हस्ताक्षरित चर में रखते हैं , तो सभी मान हमेशा सकारात्मक होंगे। इसलिए, अन्य स्थानों पर, त्रुटि स्थिति की जाँच करने से भी काम नहीं होता है। लेकिन मैंने इस मुद्दे के अध्ययन में कोई कमी नहीं की।

टुकड़ा N5, कुछ बहुत ही अजीब

static char *mntpt_prepare(char *mntpt)
{
  char *cpy_mntpt;

  cpy_mntpt = k_malloc(strlen(mntpt) + 1);
  if (cpy_mntpt) {
    ((u8_t *)mntpt)[strlen(mntpt)] = '\0';
    memcpy(cpy_mntpt, mntpt, strlen(mntpt));
  }
  return cpy_mntpt;
}

PVS-Studio चेतावनी: V575 [CWE-628] 'मेमसीपी' फ़ंक्शन पूरे स्ट्रिंग की प्रतिलिपि नहीं बनाता है । टर्मिनल नल को संरक्षित करने के लिए 'strcpy / strcpy_s' फ़ंक्शन का उपयोग करें। शेल। 427

किसी ने स्ट्रैपअप फ़ंक्शन का एनालॉग बनाने की कोशिश की , लेकिन वह सफल नहीं हुआ।

आइए विश्लेषक चेतावनी के साथ शुरू करते हैं। यह रिपोर्ट करता है कि मेमसीपी फ़ंक्शन लाइन की प्रतिलिपि बनाता है, लेकिन टर्मिनल शून्य की प्रतिलिपि नहीं करता है, और यह बहुत ही संदिग्ध है।

ऐसा लगता है कि यह टर्मिनल 0 यहां कॉपी किया गया है:

((u8_t *)mntpt)[strlen(mntpt)] = '\0';

लेकिन नहीं! यहाँ एक टाइपो है, जिसकी वजह से टर्मिनल शून्य को स्वयं कॉपी किया जाता है! ध्यान दें कि mntpt सरणी में लिखना , cpy_mntpt नहीं । नतीजतन, mntpt_prepare फ़ंक्शन एक स्ट्रिंग देता है जो टर्मिनल शून्य के साथ अपूर्ण है।

वास्तव में, प्रोग्रामर इस तरह लिखना चाहता था:

((u8_t *)cpy_mntpt)[strlen(mntpt)] = '\0';

हालांकि, यह अभी भी स्पष्ट नहीं है कि यह इतना जटिल क्यों था! इस कोड को निम्न विकल्प में सरल बनाया जा सकता है:

static char *mntpt_prepare(char *mntpt)
{
  char *cpy_mntpt;

  cpy_mntpt = k_malloc(strlen(mntpt) + 1);
  if (cpy_mntpt) {
    strcpy(cpy_mntpt, mntpt);
  }
  return cpy_mntpt;
}

Fragment N6, सत्यापन से पहले एक सूचक को dereferencing

int bt_mesh_model_publish(struct bt_mesh_model *model)
{
  ....
  struct bt_mesh_model_pub *pub = model->pub;
  ....
  struct bt_mesh_msg_ctx ctx = {
    .send_rel = pub->send_rel,
  };
  ....
  if (!pub) {
    return -ENOTSUP;
  }
  ....
}

PVS-Studio चेतावनी: V595 [CWE-476] nullrr के खिलाफ सत्यापित होने से पहले 'पब' पॉइंटर का उपयोग किया गया था। चेक लाइन: 708, 719. access.c 708

एक बहुत ही सामान्य त्रुटि पैटर्न। सबसे पहले, पॉइंटर को संरचना के एक सदस्य को शुरू करने के लिए संदर्भित किया जाता है:

.send_rel = pub->send_rel,

और उसके बाद ही एक चेक का अनुसरण करता है कि यह सूचक शून्य हो सकता है।

सत्यापन से पहले Fragment N7-N9, सूचक डीरेफरेंसिंग

int net_tcp_accept(struct net_context *context, net_tcp_accept_cb_t cb,
                   void *user_data)
{
  ....
  struct tcp *conn = context->tcp;
  ....
  conn->accept_cb = cb;

  if (!conn || conn->state != TCP_LISTEN) {
    return -EINVAL;
  }
  ....
}

PVS-Studio चेतावनी: V595 [CWE-476] null के खिलाफ सत्यापित होने से पहले 'कॉन' पॉइंटर का उपयोग किया गया था। लाइनों की जाँच करें: 1071, 1073. tcp2.c 1071

पिछले मामले के समान। यहां स्पष्टीकरण की आवश्यकता नहीं है।

इस तरह की दो और गलतियाँ यहाँ देखी जा सकती हैं:

V595 [CWE-476] 'संदर्भ-> tcp' पॉइंटर को nullptr के खिलाफ सत्यापित होने से पहले उपयोग किया गया था। चेक लाइनें: 1512, 1518. tcp.c 1512
V595 [CWE-476] nullptr के खिलाफ सत्यापित होने से पहले 'fsm' पॉइंटर का उपयोग किया गया था। चेक लाइनें: 365, 382. fsm.c 365

फ्रैगमेंट एन 10, गलत जांच

static int x509_get_subject_alt_name( unsigned char **p,
                                      const unsigned char *end,
                                      mbedtls_x509_sequence *subject_alt_name)
{
  ....
    while( *p < end )
    {
        if( ( end - *p ) < 1 )
            return( MBEDTLS_ERR_X509_INVALID_EXTENSIONS +
                    MBEDTLS_ERR_ASN1_OUT_OF_DATA );
    ....
  }
  ....
}

पीवीएस-स्टूडियो चेतावनी : V547 [CWE-570] अभिव्यक्ति '(अंत - * p) <1' हमेशा गलत है। x509_crt.c 635

स्थितियों पर एक नज़र डालें:

* पी <अंत
(अंत - * पृ) १

वे एक-दूसरे का खंडन करते हैं।

यदि (* p <अंत), तो (अंत - * p) हमेशा 1 या अधिक का मान देगा। सामान्य तौर पर, यहां कुछ गड़बड़ है, लेकिन मुझे नहीं पता कि इसे सही तरीके से कैसे लिखा जाए।

टुकड़ा N11, अगम्य कोड

uint32_t lv_disp_get_inactive_time(const lv_disp_t * disp)
{
    if(!disp) disp = lv_disp_get_default();
    if(!disp) {
        LV_LOG_WARN("lv_disp_get_inactive_time: no display registered");
        return 0;
    }

    if(disp) return lv_tick_elaps(disp->last_activity_time);

    lv_disp_t * d;
    uint32_t t = UINT32_MAX;
    d          = lv_disp_get_next(NULL);
    while(d) {
        t = LV_MATH_MIN(t, lv_tick_elaps(d->last_activity_time));
        d = lv_disp_get_next(d);
    }

    return t;
}

PVS-Studio चेतावनी: V547 [CWE-571] अभिव्यक्ति 'विवाद' हमेशा सच होता है। 148 lv_disp.c

समारोह समाप्त हो जाता है disp एक अशक्त सूचक है। फिर, इसके विपरीत, यह जांच की जाती है कि डिस्प्यूट पॉइंटर अशक्त नहीं है (और यह हमेशा ऐसा है), और फ़ंक्शन फिर से अपना काम पूरा करता है।

परिणामस्वरूप, किसी फ़ंक्शन में कोड का हिस्सा कभी भी नियंत्रण प्राप्त नहीं करेगा।

विखंडन N12, अजीब वापसी मूल्य

static size_t put_end_tlv(struct lwm2m_output_context *out, u16_t mark_pos,
        u8_t *writer_flags, u8_t writer_flag,
        int tlv_type, int tlv_id)
{
  struct tlv_out_formatter_data *fd;
  struct oma_tlv tlv;
  u32_t len = 0U;

  fd = engine_get_out_user_data(out);
  if (!fd) {
    return 0;
  }

  *writer_flags &= ~writer_flag;

  len = out->out_cpkt->offset - mark_pos;

  /* use stored location */
  fd->mark_pos = mark_pos;

  /* set instance length */
  tlv_setup(&tlv, tlv_type, tlv_id, len);
  len = oma_tlv_put(&tlv, out, NULL, true) - tlv.length;
  return 0;
}

PVS-Studio चेतावनी: V1001 'len' वैरिएबल असाइन किया गया है, लेकिन फ़ंक्शन के अंत तक उपयोग नहीं किया गया है। lwm2m_rw_oma_tlv.c 338

फ़ंक्शन में दो रिटर्न स्टेटमेंट होते हैं, जो दोनों 0. लौटाते हैं। यह अजीब बात है कि फ़ंक्शन हमेशा रिटर्न होता है। यह भी अजीब है कि लेन चर का उपयोग अब असाइनमेंट के बाद नहीं किया जाता है। मुझे बड़ा संदेह है कि इसे वास्तव में इस तरह लिखा जाना चाहिए:

  len = oma_tlv_put(&tlv, out, NULL, true) - tlv.length;
  return len;
}

विराम N13-N16, सिंक्रनाइज़ेशन त्रुटि

static int nvs_startup(struct nvs_fs *fs)
{
  ....
  k_mutex_lock(&fs->nvs_lock, K_FOREVER);
  ....
  if (fs->ate_wra == fs->data_wra && last_ate.len) {
    return -ESPIPE;
  }
  ....
end:
  k_mutex_unlock(&fs->nvs_lock);
  return rc;
}

PVS-Studio चेतावनी: V1020 'k_mutex_unlock' फ़ंक्शन को कॉल किए बिना फ़ंक्शन से बाहर निकल गया। चेक लाइनें: 620, 549. nvs.c 620

ऐसी स्थिति होती है जब कोई फ़ंक्शन म्यूटेक्स को अनलॉक किए बिना अपना काम पूरा करता है। जैसा कि मैंने इसे समझा है, इस तरह लिखना सही होगा:

static int nvs_startup(struct nvs_fs *fs)
{
  ....
  k_mutex_lock(&fs->nvs_lock, K_FOREVER);
  ....
  if (fs->ate_wra == fs->data_wra && last_ate.len) {
    rc = -ESPIPE;
    goto end;
  }
  ....
end:
  k_mutex_unlock(&fs->nvs_lock);
  return rc;
}

इस तरह की तीन और त्रुटियां:

V1020 'k_mutex_unlock' फ़ंक्शन को कॉल किए बिना फ़ंक्शन से बाहर निकल गया। चेक लाइनें: 574, 549. एनवीएससी 574
V1020 'k_mutex_unlock' फ़ंक्शन को कॉल किए बिना फ़ंक्शन से बाहर निकल गया। चेक लाइनें: 908, 890. net_context.c 908
V1020 'k_mutex_unlock' फ़ंक्शन को कॉल किए बिना फ़ंक्शन से बाहर निकल गया। चेक लाइनें: 1194, 1189. शेल। 1194

निष्कर्ष

मुझे उम्मीद है आपने इसका आनंद लिया। अन्य परियोजनाओं और अन्य रोचक प्रकाशनों पर जाँच के बारे में पढ़ने के लिए हमारे ब्लॉग पर जाएँ ।

लेखन कोड के चरणों में त्रुटियों और संभावित कमजोरियों की संख्या को कम करने के लिए अपने काम में स्थिर विश्लेषणकर्ताओं का उपयोग करें। विशेष रूप से प्रारंभिक त्रुटि का पता लगाना एम्बेडेड सिस्टम के लिए प्रासंगिक है, ऐसे कार्यक्रम अपडेट करना जिनमें अक्सर समय लेने वाली और महंगी प्रक्रिया होती है।

मैं यह भी सुझाव देता हूं कि पीवीएस-स्टूडियो विश्लेषक का उपयोग करके अपनी परियोजनाओं को स्थगित करने की कोशिश न करें। लेख देखें: सी और सी ++ कोड के लिए पीवीएस-स्टूडियो विश्लेषक द्वारा उत्पन्न दिलचस्प चेतावनियों को जल्दी से कैसे देखें ?

यदि आप इस लेख को अंग्रेजी बोलने वाले दर्शकों के साथ साझा करना चाहते हैं, तो कृपया अनुवाद के लिंक का उपयोग करें: एंड्री कारपोव। Zephyr ऑपरेटिंग सिस्टम के कोड की जाँच करना ।

Zephyr ऑपरेटिंग सिस्टम की कोड गुणवत्ता की खोज