Written on: 17. 12. 2009 [10:39]
|
almaz
Almaz Karimov
Contributor
Topic creator
registered since: 25.09.2008
Posts: 516
|
Попробовал обработать исходный код модуля DCON с помощью программы Flawfinder (точно есть в репозиториях Altlinux).
Он вывалил кучу ошибок и уязвимостей.
Вот тут нашёл целый ряд программ, предназначенных для анализа исходного кода:
http://www.codenet.ru/progr/other/code-analysers.php
Может кто пользовался анализаторами исходного кода и знает какие из них лучшие и какими пользоваться стоит?
Где-то даже видел рейтинг opensource программ, составленный по результатам анализа исходного кода.
PS Баги лучше предотвратить, чем ловить.
[This article was edited 2 times, at last 17.12.2009 at 11:00.]
21 век - век повсеместной автоматизации. Главное - во благо всем людям.
|
Written on: 18. 12. 2009 [17:17]
|
roman
Roman Savochenko
Moderator Contributor Developer
registered since: 12.12.2007
Posts: 3750
|
Эта работа запланирована до версии 0.7.0.
Прогнал "flawfinder *.cpp *.h" для исходников ядра и получил нормальный результат:
Hits = 274
Lines analyzed = 20132 in 4.64 seconds (4868 lines/second)
Physical Source Lines of Code (SLOC) = 15330
Hits@level = [0] 0 [1] 28 [2] 209 [3] 17 [4] 20 [5] 0
Hits@level+ = [0+] 274 [1+] 274 [2+] 246 [3+] 37 [4+] 20 [5+] 0
Hits/KSLOC@level+ = [0+] 17.8735 [1+] 17.8735 [2+] 16.047 [3+] 2.41357 [4+] 1.30463 [5+] 0
Minimum risk level = 1
Not every hit is necessarily a security vulnerability.
There may be other security vulnerabilities; review your code!
Многие из замечаний я знаю и осознанно на них шёл. Остальные надо посмотреть.
Learn, learn and learn better than work, work and work.
|