![](/img/trans.png)
[英]static analysis checks fails to find trivial C++ issue
我在我們的 C++ Static 分析工具中遇到了令人驚訝的假陰性。 我們使用 Klocwork(目前 2021.1), 幾位同事報告發現了 KW 應該發現的問題。 我把例子簡化為:int theIndex = 40; int main() { int arr[10] = {0,1,2,3,4 ...
[英]static analysis checks fails to find trivial C++ issue
我在我們的 C++ Static 分析工具中遇到了令人驚訝的假陰性。 我們使用 Klocwork(目前 2021.1), 幾位同事報告發現了 KW 應該發現的問題。 我把例子簡化為:int theIndex = 40; int main() { int arr[10] = {0,1,2,3,4 ...
[英]Why TypeScript flow analysis doesn't cover else block?
讓我們考慮以下代碼:function f(x : number) { if (x === 1) { if (x === 2) {} // error } else { if (x === 1) {} // OK } } 在這里,編譯 ...
[英]non-numeric argument to binary operator is the error i am getting
mean/(as.numeric(s)/sqrt(n)) 錯誤:二元運算符的非數字參數 sd^2 錯誤:二元運算符的非數字參數我需要所有這些計算值,如s和y_bar用於我以后的計算。 ...
[英]Checking Python standard library function/method calls for compatibility with old Python versions
我有一組為 Python 3 的最新版本編寫的腳本和實用程序模塊。現在突然之間,我需要確保所有這些代碼在 Python 3 的舊版本下都能正常工作。我無法獲得用戶更新到更新的 Python 版本——這不是一個選項。 因此,我需要確定我使用了自安裝舊版本以來引入的某些功能的所有實例,以便我可以將其刪除 ...
[英]gosec linter: G101: Potential hardcoded credentials
我從gosec收到這條消息: 如何禁用此警告? ...
[英]MobSF Android Activity APK
這是我第一次使用 MobSF 和 Android APK 評估。 我在測試特定 APK 時發現了一些東西,我試圖理解它背后的概念: 在 MobSF 的 HARDCODED_SECRETS 下,發現了一對與 TWITTER SDK 相關的 KEY/SECRET: com.twitter.sdk.a ...
[英]How to make PHPStan analyze only the fresh lines of code from files
我在大約 1.5 年前開發的項目中安裝了 PHPStan。 項目文件既有舊代碼也有新代碼。 我希望 PHPStan 只分析從今天開始編寫的新代碼,而忽略任何文件中編寫的舊代碼。 這將如何通過 PHPStan 實現? 我曾嘗試為新代碼創建一個單獨的目錄,並讓 PHPStan 分析新目錄,但是,它導致項 ...
[英]How to enable static analysis with custom ruleset in MSVC via CMakeLists.txt?
我使用 cmake (3.23+) 為 MSVC 生成解決方案文件(通過 CMakeLists.txt)。 我想為生成的項目啟用 static 分析,並使其使用我的自定義規則集。 我知道 MSVC 支持可以執行此操作的 CmakeSettings.json 文件,但我不明白它與 CMakeList ...
[英]Configuring assets for analyzers packages
我的解決方案包含多個項目。 在根目錄中我們有Directory.Build.props 這些 static 代碼分析器僅在開發期間使用。 我看到我可以配置資產並防止暴露這些包。 我的解決方案結構: ServiceA.Api.csproj 服務A.Core.csproj 服務A.Domain.csp ...
[英]In VS2022 can you setup a solution wide editorconfig, and and project specific editorconfig that override?
在 Visual Studio 2022 中,您能否設置一個解決方案范圍的 .editorconfig 文件,然后投影特定的 .editorconfig 文件來覆蓋或添加到解決方案范圍的文件中? 就我而言,我希望為單元測試項目設置不同的設置,和/或在遺留項目上禁用遺留方法警告。 Visual S ...
[英]How exactly can someone without source code access exploit a non-final class that has a constructor which invokes overridable functions?
我試圖了解無法訪問源代碼的人究竟如何利用具有調用可覆蓋函數(未標記為最終函數)的構造函數的非最終類。 這個問題來自這樣一個事實,即在使用源代碼分析器 (Fortify) 掃描我的源代碼后,它顯示了一些關於“代碼正確性:構造函數調用可覆蓋函數”的發現。 該問題或不良做法的一些參考資料是: 准則 4- ...
[英]Why does TypeVar and TypedDict require repeating the variable name as a string?
賞金將在 6 天后到期。 此問題的答案有資格獲得+50聲望賞金。 Ash正在尋找這個問題的更詳細的答案。 在 Python 打字中,為什么我必須寫T = TypeVar("T")而不是T = TypeVar() ? 任何靜態分析器都可以在不需要字符串參數的情況下讀取變量名。 字符串參數僅對在運行 ...
[英]Run different pre-commit hooks on different lists of files
我正在嘗試逐步向遺留代碼庫添加 linting 和自動代碼格式化。 現在,我只是在同一個“已清理”文件列表上運行所有掛鈎。 這是我的.pre-commit-config.yaml文件: 我想更改此設置,以便在所有文件上運行isort和black ,並且基於白名單的已清理文件選擇僅適用於flake8 ...
[英]Create a type hint that uses an inner class to be provided by derived classes
我正在構建一個處理序列化數據的 API,並且我更願意添加對盡可能多的靜態分析的支持。 我受到 Django 的Meta模式的啟發,用於在類上聲明元數據,並使用類似於pydantic的內部庫來檢查類型注釋以進行序列化。 我希望 API 可以像這樣工作:class Base: Data: typ ...
[英]In a pre-commit-hook is there a way to validate the "state after commit" of the checkout folder?
我想在pre-commit掛鈎中運行 static 檢查(例如mypy 、 pylint )。 由於未暫存的更改和未跟蹤的文件,我當前的幼稚方法(僅在pre-commit掛鈎中運行這些檢查)給了我誤報和誤報。 所以我真正想做的是輕松創建提交,通過隱藏未暫存和未跟蹤的本地更改來清理工作區,然后運行測 ...
[英]Why Misra showing error " Integral promotion : unsigned char promoted to signed int" in Condition check?
我正在嘗試修復一個小的 function 的 MISRA 錯誤,它將比較兩個無符號的 integer 值。 但我認為,我已經正確地進行了類型轉換。 在 MISRA 檢查期間,我收到以下錯誤 我試圖通過下面的類型轉換來修復這個錯誤 但我遇到了同樣的錯誤。 這里有什么問題? 一些幫助解決這個錯誤? ...
[英]Can I execute a clj-kondo hook before any macro expansions occur?
我有一個 clj-kondo 鈎子,當我只通過一種形式傳遞一個值時,它會告訴我: 當我運行 clj-kondo 時,我得到了一些誤報。 例如,如果我在此文件上運行上面的命令: 我收到以下警告: 看起來這是因為cond->>宏正在擴展,然后掛鈎在擴展代碼上運行。 有沒有辦法確保我的鈎子在 ...
[英]Why does the Groovy @TypeChecked annotation catch me putting a String into an int variable but not the other way around?
我無法理解 Groovy 類型和類型提升。 以及 Groovy 的@TypeChecked注釋的確切承諾。 -- 或者我可能無法理解某些 Groovy 設計理念。 我正在玩弄 @TypeChecked 注釋,但它沒有按預期運行。 我制作了兩個示例腳本,我預計它們都會因為類型不匹配而失敗。 但是只 ...
[英]How do I annotate a C or C++ function using SAL to specify that it returns true/false if a parameter is non-NULL/NULL
使用 Microsoft 的/analyze static cl.exe分析命令行選項進行編譯時,我收到警告 在調用瑣碎的 function 的代碼路徑上,它保證foo不是分析器認為可能存在的 NULL。 瑣碎的 function:bool check_ptr(void* ptr) { i ...
[英]Is there a way for me to help Clang Static Analyzer understand global constant objects?
背景:由於原因,我的代碼喜歡以(非常輕量級的)類對象的形式從其函數返回成功/錯誤代碼值。 這工作正常,但是我很難讓 Clang Static 分析器了解發生了什么; 它的混亂導致它在分析我的程序時發出虛假的“未初始化值”警告。 這里有一些最小的示例代碼來說明/重現(錯誤)行為: // my_st ...