个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我正在研究 Juliet Test Suite为了我的研究,我正在对这些代码应用一些静态分析器来生成警告。运行cppcheck 后,我发现它无法检测到manifest.xml 文件(元数据)中提到的许多错误。是我没有正确运行这个软件,还是 cppcheck 无法检测到这些警告/错误?你以前遇到过他们吗?
到目前为止,我一直在 Juliet 测试套件上使用 cppchecker。我将在其上使用 Clang、Veracode 和 Flawfinder,因为我第一次尝试失败了。
这是我使用的命令。
cppcheck --enable=all -q --xml -I testcasesupport/ testcases/ 2>out.xml
在给定的元数据 manifest.xml 文件中,一些示例错误是 -
<?xml version="1.0" encoding="utf-8"?>
<container>
<testcase>
<file path="CWE127_Buffer_Underread__CWE839_connect_socket_01.c">
<flaw line="111" name="CWE-127: Buffer Under-read"/>
</file>
</testcase>
<testcase>
<file path="CWE114_Process_Control__w32_char_connect_socket_03.c">
<flaw line="124" name="CWE-114: Process Control"/>
</file>
</testcase>
.
.
.
</container>
但由 cppchecker 生成的我的 output.xml 文件没有这些错误中的大部分。 output.xml 文件中的大多数错误属于“CWE-398”错误,这是一种样式错误。但 cppcheck 可以检测常见错误,如“数组越界”或类似错误。
是不是 cppcheck 没有涵盖 Juliet 测试套件的这些不常见错误?如果是,那么可以通过什么其他静态分析器正确检测到它们?
最佳答案
我是 Cppcheck 开发人员。
Am I failing to run this software properly or cppcheck just can't detect these warnings/ errors? Have you faced them before?
要了解 Cppcheck 可以检测到哪些 CWE,您可以使用此命令:
./cppcheck --errorlist
在输出中查找“cwe”。
Is it that cppcheck doesn't cover these uncommon errors of Juliet Test Suite? If it is, what could be some other Static Analyzer that could detect them properly?
我不记得 Juliet 测试套件涵盖了哪些 CWE,但 Cppcheck 并未涵盖所有 CWE。而且我认为没有任何工具可以涵盖所有 CWE。
cppcheck is fairly simplistic and far from perfect.
我同意。我相信 KISS 原则。 Cppcheck 远非完美。
But try out clang-tidy and the various sanitizers (asan, tsan, ubsan etc) in addition to cppcheck.
我同意。最佳做法是使用多种工具。即使您使用最昂贵的工具(例如 NASA 使用各种昂贵的工具以及 Cppcheck,因为 Cppcheck 检测到一些未检测到的问题,反之亦然),这也是最佳实践。
I am working on Juliet Test Suite for my research
在我看来,Juliet 测试套件制作不精良。该代码很奇怪且不切实际。您的结论将仅具有学术意义。在真实代码上运行工具。
我建议你扫描一些重要的开源项目。 Cppcheck 可以在 Debian 中发现成千上万的错误(未定义的行为),并且该软件安装在数百万台计算机上。最新稳定版 linux 的状态不是很好。 :-(
关于c++ - Cppcheck 静态代码分析器能否真正检测到不太常见的警告,如 "Relative Path Traversal (CWE-23)"或 "Buffer Under-read(CWE-127)"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57444094/
24
4
0
我最近开始使用 Scala 编程。我正在寻找免费的 Scala 分析器。从该语言的官方网站阅读后,我找到了 YourKit ,但该程序不是免费的。 谷歌搜索“scala profiler”没有给我任何
是否有一个程序可以让我获得有关脚本的详细信息:具体来说,我希望能够跟踪其内存占用情况并查看内存中有多少对象。 Firebug 有一个分析器,似乎可以提供计时信息,但我对内存管理更感兴趣。 最佳答案 G
Erlang 有没有好的代码分析器/分析器?我需要一些可以为我的代码构建调用图的东西。 最佳答案 对于静态代码分析,您有 Xref和 Dialyzer ,对于分析,您可以使用 cprof、fprof
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,因为
什么是“self”和“total”列? “总计”列加起来不等于 100%(高得多),看起来像 self 一样。我怀疑 self 是非累积的,而 total 是。因此,如果 methodA 调用 met
在 Perl 中,有一个非常好的分析器,称为 NYTProf。 在其报告中包含 flame graph ,这样就很容易找到程序的瓶颈 是否有一个等效的 java profiler 可以生成相同的报告?
我想知道是否有办法在c++程序中查看特定部分的调用路径。我在开源代码中工作,其中包含许多库。我尝试按照最终在模板中的路径中的代码进行操作。那么,是否有这样的库或分析器来显示代码特定部分的调用路径? 谢
我正在寻找支持每个请求分析统计的分析器,最好是沿着程序流(而不是通常的线程调用堆栈)。所以基本上是每个请求的探查器调用堆栈 + 顺序调用 View ,如下所示: doGet
如何让 symfony profiler 在 phpstorm 中工作?它应该在状态栏中,但是当我打开那个窗口时,它总是说:“这里什么都没有”。缓存目录在配置中正确定义,symfony 插件本身工作正
人们在 Unix 中用来解析/分析日志文件的流行工具是什么?进行计数,查找唯一性,选择/复制具有特定模式的特定行。请提供一些工具或一些关键字。因为我相信以前肯定有类似的问题,但我对关键字一无所知。谢谢
我设置了一个过滤器来计算执行的查询数量,并在超过某个限制时将一些内容写入我的数据库。 它在我的开发环境中运行良好,但是当我在生产环境中测试它时,我的数据库不再返回分析器。我认为这是一个为开发环境启用数
你找到这样的工具并成功使用了吗? 最佳答案 我也在寻找 AS 的分析器,但我想要一个与 FlashDevelop 和 Flex SDK 配合使用的免费软件/开源解决方案。我没有找到。所以我写了一个简单
我需要扩展 SonarQube,以便我可以向其中添加新的分析器。我尝试使用 xpath 为 java 文件添加新规则。我想知道如何在 SonarQube 中添加新语言的代码分析器,例如对于 .meta
我可以在C#(嵌套)中使用elasticsearch 2.3.0版本 我想将分析与索引一起使用, 但是索引设置不会改变,我也不知道为什么。 这是我的代码: private void b
我有一个正在wireshark中查看的自定义协议(protocol)。我认为如果wireshark可以帮我剖析它,这样我就不必解码十六进制了,这会很有用。尽管我在程序日志中执行此操作,但wiresha
我正在考虑使用 Elasticsearch 来提供我们网站的搜索功能。 我一直在试验它,但无法启用 Porterstem 分析器(以便搜索战斗匹配战斗和战斗)。 这是我输入的摘要。 curl
我正在尝试运行一个基于java的java分析器来找出我的专用机器上的java应用程序的资源消耗情况。我尝试使用的分析器称为 Warmroast。 运行时出现以下错误。 java -jar warmro
我没有从我的分析器获得预期结果,并且想测试标记化过程。 此问题的答案:How to use a Lucene Analyzer to tokenize a String? List result =
我在 Lucene 中有特殊的分析需求,但我想继续使用 StandardAnalyzer 机制的部分内容。 特别是,我想要字符串 “-苹果--胡萝卜-番茄?” 被标记为: “-苹果-”2.“-胡萝卜-
有什么好的 JSF 分析器推荐吗? 我正在使用 Tomcat 6 JSF2、 hibernate 和 Spring 最佳答案 如果您使用的是 Eclipse 或 Netbeans 之类的 IDE,那么
我是一名优秀的程序员,十分优秀!