😤 😯 👨🏼‍🌾 और फिर से एम्बेडेड के बारे में: Embox प्रोजेक्ट में बग ढूंढ रहे हैं 👃🏾 🚝 👋🏾

Embox एक क्रॉस-प्लेटफॉर्म है, एम्बेडेड सिस्टम के लिए मल्टी-टास्किंग रियल-टाइम ऑपरेटिंग सिस्टम है। यह कम कंप्यूटिंग संसाधनों में काम करने के लिए डिज़ाइन किया गया है और आपको लिनक्स का उपयोग किए बिना ही माइक्रोकंट्रोलर पर लिनक्स-आधारित एप्लिकेशन चलाने की अनुमति देता है। बेशक, किसी भी अन्य एप्लिकेशन की तरह, Embox बग को भी नहीं बख्शा जाता है। यह लेख Embox प्रोजेक्ट के कोड में पाई गई त्रुटियों के विश्लेषण के लिए समर्पित है।

कुछ महीने पहले, मैंने पहले से ही फ्रीआरटीओएस की जांच करने के बारे में एक लेख लिखा था, एम्बेडेड सिस्टम के लिए एक और ओएस। मुझे तब इसमें त्रुटियां नहीं मिलीं, लेकिन मैंने उन्हें फ्रीजर के अपने संस्करण को विकसित करते समय अमेज़ॅन के लोगों द्वारा जोड़े गए पुस्तकालयों में पाया।

यह लेख जो आप अब अपने सामने देखते हैं, एक अर्थ में, पिछले एक की थीम को जारी रखता है। हमें अक्सर फ्रीआरटीओएस की जांच करने के अनुरोध मिले, और हमने यह किया। इस बार, एक विशेष परियोजना पर जांच करने के लिए कोई अनुरोध नहीं थे, लेकिन मुझे एम्बेडेड डेवलपर्स से पत्र और टिप्पणियां प्राप्त होनी शुरू हुईं जो इसे पसंद करते थे और जो अधिक चाहते हैं।

खैर, एंबेडेड पत्रिका के लिए पीवीएस-स्टूडियो का नया मुद्दा परिपक्व हो गया है और आपके सामने है। देखने का मज़ा लें!

विश्लेषण

विश्लेषण पीवीएस-स्टूडियो का उपयोग करके किया गया था - सी, सी ++, सी # और जावा के लिए एक स्थिर कोड विश्लेषक। विश्लेषण से पहले, परियोजना को इकट्ठा करने की आवश्यकता है - इसलिए हम सुनिश्चित करेंगे कि परियोजना कोड काम कर रहा है, और हम विश्लेषक को विधानसभा जानकारी एकत्र करने का अवसर भी देंगे जो बेहतर कोड सत्यापन के लिए उपयोगी हो सकता है। आधिकारिक Embox रिपॉजिटरी

में दिए गए निर्देश विभिन्न प्रणालियों (आर्क लिनक्स, मैकओएस, डेबियन) के तहत निर्माण करने की क्षमता और प्रस्तावक का उपयोग करने की क्षमता प्रदान करते हैं। मैंने अपने जीवन में कुछ विविधता जोड़ने और डेबियन के तहत निर्माण और विश्लेषण करने का फैसला किया, जिसे मैंने हाल ही में अपनी वर्चुअल मशीन पर स्थापित किया है।

विधानसभा सुचारू रूप से चली। अब एक विश्लेषण करना आवश्यक था। डेबियन समर्थित पीवीएस-स्टूडियो लिनक्स-आधारित सिस्टमों में से एक है। लिनक्स के तहत परियोजनाओं की जांच करने का एक सुविधाजनक तरीका ट्रेस को संकलित करना है। यह एक विशेष मोड है जिसमें विश्लेषक विधानसभा के बारे में सभी आवश्यक जानकारी एकत्र करता है ताकि आप एक क्लिक के साथ विश्लेषण शुरू कर सकें। मुझे बस इतना करना चाहिए:

1) पीवीएस-स्टूडियो डाउनलोड और इंस्टॉल करना;

2) एमबॉक्स के साथ फ़ोल्डर में जाकर और टर्मिनल में टाइप करके असेंबली ट्रैकिंग लॉन्च करें

pvs-studio-analyzer analyze -- make

3) विधानसभा के पूरा होने का इंतजार करने के बाद, कमांड चलाएं:

pvs-studio-analyzer analyze -o /path/to/output.log

4) कच्ची रिपोर्ट को आपके लिए सुविधाजनक किसी भी प्रारूप में बदलें। विश्लेषक एक विशेष उपयोगिता PlogConverter के साथ आता है, जिसके साथ आप ऐसा कर सकते हैं। उदाहरण के लिए, रिपोर्ट को टास्कलिस्ट में बदलने की कमान (उदाहरण के लिए, QtCreator में) इस तरह दिखाई देगी:

plog-converter -t tasklist -o /path/to/output.tasks /path/to/project

सब! इन बिंदुओं को पूरा करने में मुझे 15 मिनट से अधिक का समय नहीं लगा। रिपोर्ट तैयार है, अब आप त्रुटियों को देख सकते हैं। खैर, चलिए शुरू करते हैं :)

अजीब सा चक्र

विश्लेषक द्वारा पाई गई त्रुटियों में से एक लूप के दौरान अजीब थी:

int main(int argc, char **argv) {
  ....

  while (dp.skip != 0 ) {
    n_read = read(ifd, tbuf, dp.bs);
    if (n_read < 0) {
      err = -errno;
      goto out_cmd;
    }
    if (n_read == 0) {
      goto out_cmd;
    }

    dp.skip --;
  } while (dp.skip != 0);       // <=

  do {
    n_read = read(ifd, tbuf, dp.bs);
    if (n_read < 0) {
      err = -errno;
      break;
    }

    if (n_read == 0) {
      break;
    }

    ....

    dp.count --;
  } while (dp.count != 0);
  ....
}

पीवीएस-स्टूडियो चेतावनी : V715 'जबकि' ऑपरेटर के पास खाली शरीर है। संदिग्ध पैटर्न का पता चला: 'जबकि (एक्सप)) {...} (dp.skip! = 0);')। dd.c 225 hm

। वास्तव में अजीब लूप। जबकि अभिव्यक्ति (dp.skip! = 0) दो बार लिखा जाता है, एक बार लूप के ठीक ऊपर, और उसके ठीक नीचे दूसरा। वास्तव में, अब ये दो अलग-अलग चक्र हैं: एक में घुंघराले ब्रेसिज़ के भाव हैं, और दूसरा खाली है। इस मामले में, दूसरा चक्र कभी भी निष्पादित नहीं किया जाएगा।

नीचे एक ऐसा ही है ... जबकि लूप एक समान स्थिति के साथ है, जो मुझे सोचने के लिए प्रेरित करता है: अजीब लूप मूल रूप से ऐसा करने के लिए था ... जबकि, लेकिन कुछ गलत था। मुझे लगता है कि उच्च संभावना वाले कोड के इस टुकड़े में तार्किक त्रुटि है।

स्म्रति से रिसाव

हां, उनके बिना नहीं।

int krename(const char *oldpath, const char *newpath) {
  
  char *newpatharg, *oldpatharg;

  ....

  oldpatharg =
    calloc(strlen(oldpath) + diritemlen + 2, sizeof(char));
  newpatharg =
    calloc(strlen(newpath) + diritemlen + 2, sizeof(char));
  if (NULL == oldpatharg || NULL == newpatharg) {
    SET_ERRNO(ENOMEM);
    return -1;
  }

  ....
}

पीवीएस-स्टूडियो चेतावनी:

V773 The function was exited without releasing the 'newpatharg' pointer. A memory leak is possible. kfsop.c 611
V773 The function was exited without releasing the 'oldpatharg' pointer. A memory leak is possible. kfsop.c 611

फ़ंक्शन स्थानीय वैरिएबल newpatharg और oldpatharg को अपने अंदर बनाता है । इन पॉइंटर्स को कॉलॉक का उपयोग करके आंतरिक रूप से आवंटित नए मेमोरी स्थानों के पते दिए गए हैं । यदि स्मृति आवंटित करते समय कोई समस्या होती है, तो कॉलोक एक अशक्त सूचक देता है।

क्या होगा यदि केवल एक मेमोरी ब्लॉक आवंटित किया जाए? किसी भी मेमोरी को मुक्त किए बिना फ़ंक्शन क्रैश हो जाएगा। जो साइट आवंटित की गई थी, वह फिर से उपयोग करने और इसे आगे के उपयोग के लिए मुक्त करने के लिए बिना किसी अवसर के मेमोरी में बनी रहेगी।

स्मृति रिसाव का एक और उदाहरण थोड़ा उज्जवल है:

static int block_dev_test(....) {
  int8_t *read_buf, *write_buf;
  
  ....

  read_buf = malloc(blk_sz * m_blocks);
  write_buf = malloc(blk_sz * m_blocks);

  if (read_buf == NULL || write_buf == NULL) {
    printf("Failed to allocate memory for buffer!\n");

    if (read_buf != NULL) {
      free(read_buf);
    }

    if (write_buf != NULL) {
      free(write_buf);
    }

    return -ENOMEM;
  }

  if (s_block >= blocks) {
    printf("Starting block should be less than number of blocks\n");
    return -EINVAL;            // <=
  }

  ....
}

पीवीएस-स्टूडियो चेतावनी:

V773 The function was exited without releasing the 'read_buf' pointer. A memory leak is possible. block_dev_test.c 195
V773 The function was exited without releasing the 'write_buf' pointer. A memory leak is possible. block_dev_test.c 195

यहां, प्रोग्रामर ने पहले से ही सटीकता दिखाई है और उस मामले को सही ढंग से संसाधित किया है जिसमें स्मृति का केवल एक टुकड़ा आवंटित करना संभव था। सही ढंग से संसाधित ... और सचमुच अगली अभिव्यक्ति में एक और गलती हुई।

एक सही ढंग से लिखित जांच के लिए धन्यवाद, हम यह सुनिश्चित कर सकते हैं कि जिस समय अभिव्यक्ति निष्पादित की जाती है, रिटर्न -इनवैल; हम निश्चित रूप से read_buf और write_buf दोनों के लिए मेमोरी आवंटित करेंगे । इस प्रकार, फ़ंक्शन से इस तरह की वापसी के साथ, हमारे पास एक ही बार में दो लीक होंगे।

मुझे लगता है कि एक एम्बेडेड डिवाइस पर मेमोरी लीक प्राप्त करना एक क्लासिक पीसी की तुलना में अधिक दर्दनाक हो सकता है। ऐसी परिस्थितियों में जब संसाधन गंभीर रूप से सीमित होते हैं, आपको विशेष रूप से सावधानीपूर्वक उनकी निगरानी करने की आवश्यकता होती है।

इशारा करने वाले

निम्नलिखित त्रुटि कोड संक्षिप्त और सरल है:

static int scsi_write(struct block_dev *bdev, char *buffer,
                      size_t count, blkno_t blkno) {
  struct scsi_dev *sdev;
  int blksize;

  ....

  sdev = bdev->privdata;
  blksize = sdev->blk_size; // <=

  if (!sdev) {              // <=
    return -ENODEV;
  }

  ....
}

PVS-Studio चेतावनी: V595 'sdev' पॉइंटर को nullptr के खिलाफ सत्यापित करने से पहले उपयोग किया गया था। चेक लाइनें: 116, 118. scsi_disk.c 116 NULL के लिए जाँच किए जाने से ठीक पहले sdev

पॉइंटर को dereferenced जाता है। यह मानना तर्कसंगत है कि यदि किसी ने ऐसा चेक लिखा है, तो यह सूचक शून्य हो सकता है। इस मामले में, हमारे पास स्ट्रिंग ब्लॉकेज = sdev-> blk_size में अशक्त पॉइंटर की संभावित डीफ्रेंनिंग है ।

त्रुटि यह है कि चेक वहां स्थित नहीं है जहां इसकी आवश्यकता है। यह " sdev = bdev-> privdata; " लाइन के बाद आना चाहिए था , लेकिन लाइन से पहले " blksize = sdev-> blk_size; "। तब शून्य पते की संभावित अपील से बचा जा सकता था।

PVS-Studio ने निम्नलिखित कोड में दो और त्रुटियां पाईं:

void xdrrec_create(....)
{
  char *buff;

  ....

  buff = (char *)malloc(sendsz + recvsz);
  assert(buff != NULL);

  ....

  xs->extra.rec.in_base = xs->extra.rec.in_curr = buff;
  xs->extra.rec.in_boundry 
    = xs->extra.rec.in_base + recvsz;                    // <=

  ....
  xs->extra.rec.out_base
    = xs->extra.rec.out_hdr = buff + recvsz;             // <= 
  xs->extra.rec.out_curr 
    = xs->extra.rec.out_hdr + sizeof(union xdrrec_hdr);

  ....
}

पीवीएस-स्टूडियो चेतावनी:

V769 'xs-> extra.rec.in_base' पॉइंटर में 'xs-> extra.rec.in_base + recvsz' का एक्सप्रेशन nullptr हो सकता है। ऐसे मामले में, परिणामस्वरूप मूल्य संवेदनहीन होगा और इसका उपयोग नहीं किया जाना चाहिए। चेक लाइनें: 56, 48. xdr_rec.c 56
V769 'बफ़ + रिकवेज़' एक्सप्रेशन में 'बफ़र' पॉइंटर को nullptr किया जा सकता है। ऐसे मामले में, परिणामस्वरूप मूल्य संवेदनहीन होगा और इसका उपयोग नहीं किया जाना चाहिए। चेक लाइनें: 61, 48. xdr_rec.c 61

Buf सूचक के साथ आरंभ नहीं हो जाता malloc , और उसके बाद अपने मूल्य अन्य संकेत प्रारंभ करने में प्रयोग किया जाता है। मॉलॉक फ़ंक्शन एक नल सूचक को वापस कर सकता है, और इसे हमेशा जांचना चाहिए। ऐसा नहीं है कि यहाँ प्रतीत होता है एक है ज़ोर जाँच buf के लिए शून्य है, और सब कुछ ठीक काम करना चाहिए।

लेकिन नहीं! तथ्य यह है कि है ज़ोर की डीबगिंग के लिए उपयोग किया जाता है, और जब रिलीज विन्यास में परियोजना का निर्माण, इस ज़ोर हटा दिया जाएगा। यह पता चला है कि जब डिबग में काम करते हैं, तो कार्यक्रम सही ढंग से काम करेगा, और जब रिलीज में निर्माण होता है, तो नल सूचक "आगे" जाता है। अशक्त का

उपयोग करेंअंकगणितीय ऑपरेशन में गलत है, क्योंकि इस तरह के ऑपरेशन के परिणाम का कोई मतलब नहीं होगा, और इस तरह के परिणाम का उपयोग नहीं किया जा सकता है। यह वह है जो विश्लेषक हमें इसके बारे में चेतावनी देता है।

कुछ लोगों का तर्क हो सकता है कि बाद सूचक की जाँच नहीं malloc / realloc / calloc है निडर। जैसे, अशक्त सूचक द्वारा पहली पहुँच पर, एक संकेत / अपवाद उत्पन्न होगा और कुछ भी गलत नहीं होगा। व्यवहार में, सब कुछ बहुत अधिक जटिल है, और अगर सत्यापन की कमी आपके लिए खतरनाक नहीं लगती है, तो मेरा सुझाव है कि आप लेख पर नज़र डालें " यह जांचना महत्वपूर्ण है कि मॉलोक फ़ंक्शन क्या लौटा है "।

सरणियों का गलत संचालन

निम्न त्रुटि अंतिम से पहले के उदाहरण के समान है:


int fat_read_filename(struct fat_file_info *fi,
                      void *p_scratch,
                      char *name) {
  int offt = 1;

  ....

  offt = strlen(name);
  while (name[offt - 1] == ' ' && offt > 0) { // <=
    name[--offt] = '\0';
  }
  log_debug("name(%s)", name);

  return DFS_OK;
}

पीवीएस-स्टूडियो चेतावनी: V781 'ऑफ्ट' सूचकांक के मूल्य का उपयोग करने के बाद जाँच की जाती है। शायद प्रोग्राम लॉजिक में कोई गलती है। fat_common.c 1813

चर ऑफसेट को सबसे पहले इंडेक्सिंग ऑपरेशन के अंदर उपयोग किया जाता है, और उसके बाद ही यह जाँच की जाती है कि इसका मान शून्य से अधिक है। लेकिन क्या होगा अगर नाम एक खाली स्ट्रिंग हो? स्ट्रलेन () फ़ंक्शन 0 पर लौटेगा , फिर पैर में एक जोर का शॉट। कार्यक्रम एक नकारात्मक सूचकांक पर पहुंच जाएगा, जिससे अपरिभाषित व्यवहार होगा। प्रोग्राम क्रैश सहित कुछ भी हो सकता है। मैस!

संदेहास्पद स्थिति

और उनके बिना कहाँ? हम हर परियोजना में शाब्दिक रूप से ऐसी त्रुटियां पाते हैं जिनकी हम जाँच करते हैं।

int index_descriptor_cloexec_set(int fd, int cloexec) {
  struct idesc_table *it;

  it = task_resource_idesc_table(task_self());
  assert(it);

  if (cloexec | FD_CLOEXEC) {
    idesc_cloexec_set(it->idesc_table[fd]);
  } else {
    idesc_cloexec_clear(it->idesc_table[fd]);
  }
  return 0;
}

PVS-Studio चेतावनी: V617 स्थिति का निरीक्षण करने पर विचार करें। '0x0010' का तर्क '|' बिटवाइज़ ऑपरेशन में एक गैर-शून्य मान होता है। index_descriptor.c 55

यह समझने के लिए कि त्रुटि क्या है, FD_CLOEXEC स्थिरांक की परिभाषा देखें :

#define FD_CLOEXEC 0x0010

यह पता चला है कि अगर बिटक्वाइन के दाईं ओर (cloexec | FD_CLOEXEC) अभिव्यक्ति में "या" हमेशा एक नॉनजरो स्थिरांक होता है। इस तरह के ऑपरेशन का नतीजा हमेशा एक नॉनजेरो नंबर होगा। इस प्रकार, यह अभिव्यक्ति हमेशा अगर (सच्ची) अभिव्यक्ति के बराबर होगी , और हम हमेशा इफ-अभिव्यक्ति की केवल तत्कालीन शाखा की प्रक्रिया करेंगे।

मुझे संदेह है कि इस मैक्रो स्थिरांक का उपयोग Embox ऑपरेटिंग सिस्टम को पूर्व-कॉन्फ़िगर करने के लिए किया जाता है, लेकिन फिर भी यह हमेशा सही स्थिति अजीब लगती है। शायद वे यहां & ऑपरेटर का उपयोग करना चाहते थे , लेकिन उन्होंने एक टाइपो बनाया।

पूर्णांक विभाजन

निम्नलिखित त्रुटि सी भाषा की एक विशेषता से संबंधित है:

#define SBSIZE    1024

static int ext2fs_format(struct block_dev *bdev, void *priv) {
  size_t dev_bsize;
  float dev_factor;

  ....

  dev_size = block_dev_size(bdev);
  dev_bsize = block_dev_block_size(bdev);
  dev_factor = SBSIZE / dev_bsize;            // <=

  ext2_dflt_sb(&sb, dev_size, dev_factor);
  ext2_dflt_gd(&sb, &gd);

  ....
}

PVS-Studio चेतावनी : V636 '1024 / dev_bsize' की अभिव्यक्ति को 'int' प्रकार से 'फ्लोट' प्रकार में डाला गया था। एक आंशिक भाग के नुकसान से बचने के लिए एक स्पष्ट प्रकार के कलाकारों का उपयोग करने पर विचार करें। एक उदाहरण: डबल ए = (डबल) (एक्स) / वाई ;; ext2.c 777

यह सुविधा इस प्रकार है: यदि हम दो पूर्णांक मानों को विभाजित करते हैं, तो विभाजन का परिणाम पूर्णांक होगा। इस प्रकार, विभाजन एक शेष के बिना होगा, या, दूसरे शब्दों में, विभाजन परिणाम से आंशिक भाग को छोड़ दिया जाएगा।

कभी-कभी प्रोग्रामर इसके बारे में भूल जाते हैं, और इस तरह की त्रुटियां होती हैं। SBSIZE स्थिर और परिवर्तनशील dev_bsize में पूर्णांक प्रकार (क्रमशः, और size_t) हैं। इसलिए, SBSIZE / dev_bsize अभिव्यक्ति का परिणाम हैपूर्णांक प्रकार का भी होगा।

लेकिन एक पल रुकिए। चर dev_factor फ्लोट का प्रकार है ! जाहिर है, प्रोग्रामर को भिन्नात्मक विभाजन परिणाम प्राप्त होने की उम्मीद थी। यदि आप इस चर के आगे उपयोग पर ध्यान देते हैं तो इसे और सत्यापित किया जा सकता है। उदाहरण के लिए, ext2_dflt_sb फ़ंक्शन , जहां dev_factor को तीसरे पैरामीटर के रूप में पारित किया गया है, में निम्नलिखित समस्याएं हैं :

static void ext2_dflt_sb(struct ext2sb *sb, size_t dev_size, float dev_factor);

इसी प्रकार, अन्य स्थानों पर जहां dev_factor वैरिएबल का उपयोग किया जाता है : सब कुछ इंगित करता है कि फ्लोटिंग-पॉइंट संख्या अपेक्षित है।

इस त्रुटि को ठीक करने के लिए, यह केवल एक डिवीजन ऑपरेंड को वास्तविक प्रकार में डालने के लिए पर्याप्त है। उदाहरण के लिए:

dev_factor = float(SBSIZE) / dev_bsize;

फिर विभाजन का परिणाम एक भिन्नात्मक संख्या होगी।

असत्यापित इनपुट

निम्नलिखित त्रुटि कार्यक्रम के बाहर से प्राप्त असत्यापित डेटा के उपयोग से जुड़ी है।

int main(int argc, char **argv) {
  int ret;
  char text[SMTP_TEXT_LEN + 1];

  ....

  if (NULL == fgets(&text[0], sizeof text - 2, /* for \r\n */
      stdin)) { ret = -EIO; goto error; }
    text[strlen(&text[0]) - 1] = '\0'; /* remove \n */    // <=

  ....
}

PVS-Studio चेतावनी: V1010 अनियंत्रित दागी डेटा का उपयोग इंडेक्स में किया जाता है: 'strlen (& text [0])'। sendmail.c 102

सबसे पहले, पर विचार क्या fgets रिटर्न में कार्य । किसी पंक्ति के सफल पढ़ने के मामले में, फ़ंक्शन इस रेखा के लिए एक संकेतक लौटाता है। पढ़ा एक का सामना करना पड़ता है, तो अंत फ़ाइल से पहले कम से कम एक तत्व पढ़ा जाता है, या एक इनपुट त्रुटि तब होती है, fgets ढंग से काम रिटर्न शून्य ।

तो अभिव्यक्ति NULL == फ़िज़ (....) हैयदि प्राप्त इनपुट सही है तो जाँच करें। लेकिन एक कैविएट है। यदि आप पढ़ने के लिए पहले वर्ण के रूप में एक नल टर्मिनल को स्थानांतरित करते हैं (यह किया जा सकता है, उदाहरण के लिए, विंडोज कमांड लाइन के लिगेसी मोड में Ctrl + 2 दबाकर), फाल्ट फ़ंक्शन इसे NULL को वापस किए बिना मानता है । इस स्थिति में, जिस लाइन पर रिकॉर्डिंग की जाती है, उसमें केवल एक ही तत्व होगा - ' \ 0 '।

आगे क्या होगा? एक्सप्रेशन स्ट्रैलेन (और टेक्स्ट [0]) 0 पर वापस आएगा । नतीजतन, हमें एक नकारात्मक सूचकांक कॉल मिलता है:

text[ 0 - 1 ] = '\0';

नतीजतन, हम केवल इनपुट के लिए लाइन समाप्ति वर्ण पारित करके कार्यक्रम को "पलट" सकते हैं। यह अजीब है, और संभवतः Embox का उपयोग कर सिस्टम पर हमला करने के लिए इस्तेमाल किया जा सकता है।

मेरे सहयोगी, जो इस नैदानिक नियम को विकसित कर रहे थे, यहां तक कि NcFTP परियोजना पर इस तरह के हमले के उदाहरण के साथ एक नोट बनाया:

मैं यह देखने की सलाह देता हूं कि क्या आप अभी भी ऐसे अवसर पर विश्वास नहीं करते हैं :)

इसके अलावा, विश्लेषक को एक ही त्रुटि के साथ दो और स्थान मिले:

V1010 अनियंत्रित दागी डेटा का उपयोग इंडेक्स में किया जाता है: 'strlen (& [0]) से'। sendmail.c 55
V1010 अनियंत्रित दागी डेटा का उपयोग इंडेक्स में किया जाता है: 'strlen (& [को 0])'। sendmail.c 65

मिश्रा

MISRA अत्यधिक जिम्मेदार एम्बेडेड सिस्टम के लिए सुरक्षित C और C ++ कोड लिखने के लिए दिशानिर्देशों और दिशानिर्देशों का एक समूह है। एक अर्थ में, यह एक प्रशिक्षण मैनुअल है, जिसका पालन करने से आप न केवल तथाकथित "कोड गंध" से छुटकारा पा सकते हैं, बल्कि अपने कार्यक्रम को कमजोरियों से भी बचा सकते हैं।

MISRA का उपयोग किया जाता है जहां मानव जीवन आपके एम्बेडेड सिस्टम की गुणवत्ता पर निर्भर करता है: चिकित्सा, मोटर वाहन, विमान और सैन्य उद्योगों में।

पीवीएस-स्टूडियो में नैदानिक नियमों का एक व्यापक सेट है जो आपको MISRA C और MISRA + ++ मानकों के अनुपालन के लिए अपने कोड की जांच करने की अनुमति देता है। डिफ़ॉल्ट रूप से, इन डायग्नोस्टिक्स के साथ मोड को बंद कर दिया जाता है, लेकिन जब से हम एम्बेडेड सिस्टम के लिए प्रोजेक्ट में त्रुटियों की तलाश कर रहे हैं, मैं बस MISRA के बिना नहीं कर सकता।

यहाँ मैं क्या खोजने में कामयाब रहा:

/* find and read symlink file */
static int ext2_read_symlink(struct nas *nas,
                             uint32_t parent_inumber,
                             const char **cp) {
  char namebuf[MAXPATHLEN + 1];

  ....

  *cp = namebuf;              // <=
  if (*namebuf != '/') {
    inumber = parent_inumber;
  } else {
    inumber = (uint32_t) EXT2_ROOTINO;
  }
  rc = ext2_read_inode(nas, inumber);

  return rc;
}

PVS-Studio चेतावनी: V2548 [MISRA C 18.6] स्थानीय सरणी का नाम 'namebuf' इस सरणी के दायरे से बाहर संग्रहीत नहीं किया जाना चाहिए। ext2.c 298

विश्लेषक ने एक संदिग्ध असाइनमेंट का पता लगाया जो संभावित रूप से अपरिभाषित व्यवहार का कारण बन सकता था।

आइए कोड पर एक करीब से नज़र डालें। यहाँ, namebuf फ़ंक्शन के स्थानीय दायरे में बनाई गई एक सरणी है, और cp पॉइंटर को पॉइंटर से फ़ंक्शन में पास किया जाता है।

सी सिंटैक्स के अनुसार, सरणी का नाम मेमोरी क्षेत्र में पहले तत्व का एक संकेतक है जिसमें सरणी संग्रहीत होती है। यह पता चला है कि अभिव्यक्ति * cp = namebuf , सरणी नाम के पते को cp द्वारा बताए गए चर पर नियत करेगा।। चूंकि सूचक द्वारा cp को फ़ंक्शन में पास किया जाता है, इसलिए मान में एक परिवर्तन जो उस स्थान पर परिलक्षित होता है जहां फ़ंक्शन को बुलाया गया था।

यह पता चला है कि ext2_read_symlink फ़ंक्शन अपना काम पूरा करने के बाद , इसका तीसरा पैरामीटर उस क्षेत्र को इंगित करेगा जो नामब्यू सरणी एक बार कब्जा कर लेता है ।

केवल एक "लेकिन" है: चूंकि नाम्बफ स्टैक पर आरक्षित एक सरणी है, यह फ़ंक्शन के बाहर निकलने पर हटा दिया जाएगा। इस प्रकार, फ़ंक्शन के बाहर मौजूद एक सूचक मुक्त मेमोरी को इंगित करेगा।

उस पते पर क्या होगा? भविष्यवाणी करना असंभव है। यह संभव है कि कुछ समय के लिए सरणी की सामग्री स्मृति में बनी रहेगी, या यह संभव है कि कार्यक्रम तुरंत इस क्षेत्र को कुछ और के साथ मिटा देगा। सामान्य तौर पर, इस तरह के पते पर पहुंचना अपरिभाषित मान लौटाएगा, और ऐसे मूल्य का उपयोग करना एक सकल त्रुटि है।

विश्लेषक को एक ही चेतावनी के साथ एक और त्रुटि भी मिली:

V2548 [MISRA C 18.6] स्थानीय चर का पता 'dst_haddr' इस चर के दायरे से बाहर संग्रहित नहीं होना चाहिए। net_tx.c 82

निष्कर्ष

मुझे Embox प्रोजेक्ट के साथ काम करना पसंद था। इस तथ्य के बावजूद कि मैंने लेख में पाई गई सभी त्रुटियों को नहीं लिखा था, चेतावनियों की कुल संख्या अपेक्षाकृत कम थी, और सामान्य तौर पर, परियोजना कोड उच्च गुणवत्ता के साथ लिखा गया था। इसलिए, मैं डेवलपर्स के साथ-साथ समुदाय की ओर से परियोजना में योगदान देने वालों के लिए आभार व्यक्त करता हूं। तुम महान हो!

मैं इस अवसर पर तुला से डेवलपर्स को शुभकामनाएं देता हूं। मुझे विश्वास होगा कि सेंट पीटर्सबर्ग में अभी बहुत ठंड नहीं है :)

इस पर मेरा लेख समाप्त हो गया। मुझे आशा है कि आपको इसे पढ़ने में मज़ा आया, और आपने अपने लिए कुछ नया पाया।

यदि आप पीवीएस-स्टूडियो में रुचि रखते हैं और स्वतंत्र रूप से इसका उपयोग करके किसी परियोजना को सत्यापित करना चाहते हैं, तो इसे डाउनलोड करके देखें । इसमें 15 मिनट से अधिक समय नहीं लगेगा।

यदि आप इस लेख को अंग्रेजी बोलने वाले दर्शकों के साथ साझा करना चाहते हैं, तो कृपया अनुवाद के लिंक का उपयोग करें: जॉर्ज ग्रिबकोव। के बारे में फिर से एम्बेडेड: Embox परियोजना में कीड़े की खोज ।

और फिर से एम्बेडेड के बारे में: Embox प्रोजेक्ट में बग ढूंढ रहे हैं

विश्लेषण

अजीब सा चक्र

स्म्रति से रिसाव

इशारा करने वाले

सरणियों का गलत संचालन

संदेहास्पद स्थिति

पूर्णांक विभाजन

असत्यापित इनपुट

मिश्रा

निष्कर्ष

More articles: