c - 如何用AST树或其他工具做静态代码逻辑分析？

Question

void f1(char *s)
{
 s[20] = 0;
}
void f2()
{
 char a[10];
 if (x + y == 2) {
 f1(a);
 }
}

Cppcheck 将报告此消息:数组 'a[10]' 索引 20 越界

Cppcheck 如何获得 f2 中的“a”和 f1 中的“s”之间的联系？

我构建了AST树，但是它只提供了每个符号的信息，并没有给我关于符号逻辑关系的信息。计算机怎么知道 f2 中的“a”和 f1 中的“s”是同一个东西？据我所知，我们必须考虑很多情况，例如:

void f1(char *s)
{
 char str_arry[30];
 s= str_arry;
 s[20] = 0;
}

在这种情况下，“s”和“a”不是一回事。

Answer 1

我不知道 Cppcheck 究竟是如何工作的，但我会告诉您如何解决这个问题。相关函数的分析主要有两种方法。

在第一种情况下，当分析器遇到函数调用时，它开始分析其主体，考虑通过函数传输的事实参数的值。只有知道哪些值被传输到函数时，这种情况才会自然发生。这指的是:一个精确值、一个范围、一组值、空/非空指针等。传输信息的复杂性取决于分析仪的复杂程度。例如，它可以开始分析函数体，知道两个传输的指针指向同一个数组。

这是一种非常准确的方法。但是有一个严重的问题。基于这个概念的分析器非常慢。他们必须一遍又一遍地分析具有不同输入数据集的函数体。这些函数依次调用其他函数，依此类推。并且在某些时候必须停止“内部”分析，这在实践中使这种方法不像理论上看起来那么准确和出色。

还有第二种方法。它基于自动功能注释。问题是，在分析函数时，会关注有关如何使用其参数以及它们不能采用哪些值的信息。让我们考虑一下我在名为“Technologies used in the PVS-Studio code analyzer for finding bugs and potential vulnerabilities”的文章中给出的简单示例'.

int Div(int X)
{
  return 10 / X;
}
void Foo()
{
  for (int i = 0; i < 5; ++i)
    Div(i);
}

分析器识别出 X 变量在 Div 函数中用作分隔符。以此为基础，自动创建了一个特殊的Div函数注解。然后它考虑到 [0..4] 值范围作为 X 参数传输到函数这一事实。分析器得出结论，应该出现被零除。

这种方法更粗糙，不如第一种方法准确。但它速度非常快，可以在不影响生产力的情况下在大量功能之间建立强关联。

在实践中可能要复杂得多。例如，PVS-Studio 分析器使用第二种方法作为主要方法，但并非总是如此。有时在处理模板函数时，我们会再次分析它们(第一种方法)。换句话说，我们使用组合方法来保持分析深度和速度之间的平衡。