static 分析檢查未能找到瑣碎的 C++ 問題
[英]static analysis checks fails to find trivial C++ issue
我在我們的 C++ Static 分析工具中遇到了令人驚訝的假陰性。 我們使用 Klocwork(目前 2021.1), 幾位同事報告發現了 KW 應該發現的問題。 我把例子簡化為:int theIndex = 40; int main() { int arr[10] = {0,1,2,3,4 ...
為什么TypeScript流分析沒有覆蓋else塊?
[英]Why TypeScript flow analysis doesn't cover else block?
讓我們考慮以下代碼:function f(x : number) { if (x === 1) { if (x === 2) {} // error } else { if (x === 1) {} // OK } } 在這里,編譯 ...
二元運算符的非數字參數是我得到的錯誤
[英]non-numeric argument to binary operator is the error i am getting
mean/(as.numeric(s)/sqrt(n)) 錯誤:二元運算符的非數字參數 sd^2 錯誤:二元運算符的非數字參數我需要所有這些計算值,如s和y_bar用於我以后的計算。 ...
檢查 Python 標准庫函數/方法調用與舊 Python 版本的兼容性
[英]Checking Python standard library function/method calls for compatibility with old Python versions
我有一組為 Python 3 的最新版本編寫的腳本和實用程序模塊。現在突然之間,我需要確保所有這些代碼在 Python 3 的舊版本下都能正常工作。我無法獲得用戶更新到更新的 Python 版本——這不是一個選項。 因此,我需要確定我使用了自安裝舊版本以來引入的某些功能的所有實例,以便我可以將其刪除 ...
gosec linter:G101:潛在的硬編碼憑證
[英]gosec linter: G101: Potential hardcoded credentials
我從gosec收到這條消息: 如何禁用此警告? ...
MobSF Android 活動 APK
[英]MobSF Android Activity APK
這是我第一次使用 MobSF 和 Android APK 評估。 我在測試特定 APK 時發現了一些東西,我試圖理解它背后的概念: 在 MobSF 的 HARDCODED_SECRETS 下,發現了一對與 TWITTER SDK 相關的 KEY/SECRET: com.twitter.sdk.a ...
如何使 PHPStan 僅分析文件中的新代碼行
[英]How to make PHPStan analyze only the fresh lines of code from files
我在大約 1.5 年前開發的項目中安裝了 PHPStan。 項目文件既有舊代碼也有新代碼。 我希望 PHPStan 只分析從今天開始編寫的新代碼,而忽略任何文件中編寫的舊代碼。 這將如何通過 PHPStan 實現? 我曾嘗試為新代碼創建一個單獨的目錄,並讓 PHPStan 分析新目錄,但是,它導致項 ...
如何通過 CMakeLists.txt 在 MSVC 中使用自定義規則集啟用 static 分析?
[英]How to enable static analysis with custom ruleset in MSVC via CMakeLists.txt?
我使用 cmake (3.23+) 為 MSVC 生成解決方案文件(通過 CMakeLists.txt)。 我想為生成的項目啟用 static 分析,並使其使用我的自定義規則集。 我知道 MSVC 支持可以執行此操作的 CmakeSettings.json 文件,但我不明白它與 CMakeList ...
為分析器包配置資產
[英]Configuring assets for analyzers packages
我的解決方案包含多個項目。 在根目錄中我們有Directory.Build.props 這些 static 代碼分析器僅在開發期間使用。 我看到我可以配置資產並防止暴露這些包。 我的解決方案結構: ServiceA.Api.csproj 服務A.Core.csproj 服務A.Domain.csp ...
在 VS2022 中,您可以設置一個解決方案范圍的編輯器配置,並覆蓋項目特定的編輯器配置嗎?
[英]In VS2022 can you setup a solution wide editorconfig, and and project specific editorconfig that override?
在 Visual Studio 2022 中,您能否設置一個解決方案范圍的 .editorconfig 文件,然后投影特定的 .editorconfig 文件來覆蓋或添加到解決方案范圍的文件中? 就我而言,我希望為單元測試項目設置不同的設置,和/或在遺留項目上禁用遺留方法警告。 Visual S ...
沒有源代碼訪問權限的人究竟如何利用具有調用可覆蓋函數的構造函數的非最終類?
[英]How exactly can someone without source code access exploit a non-final class that has a constructor which invokes overridable functions?
我試圖了解無法訪問源代碼的人究竟如何利用具有調用可覆蓋函數(未標記為最終函數)的構造函數的非最終類。 這個問題來自這樣一個事實,即在使用源代碼分析器 (Fortify) 掃描我的源代碼后,它顯示了一些關於“代碼正確性:構造函數調用可覆蓋函數”的發現。 該問題或不良做法的一些參考資料是: 准則 4- ...
為什么 TypeVar 和 TypedDict 需要將變量名作為字符串重復?
[英]Why does TypeVar and TypedDict require repeating the variable name as a string?
賞金將在 6 天后到期。 此問題的答案有資格獲得+50聲望賞金。 Ash正在尋找這個問題的更詳細的答案。 在 Python 打字中,為什么我必須寫T = TypeVar("T")而不是T = TypeVar() ? 任何靜態分析器都可以在不需要字符串參數的情況下讀取變量名。 字符串參數僅對在運行 ...
在不同的文件列表上運行不同的預提交掛鈎
[英]Run different pre-commit hooks on different lists of files
我正在嘗試逐步向遺留代碼庫添加 linting 和自動代碼格式化。 現在,我只是在同一個“已清理”文件列表上運行所有掛鈎。 這是我的.pre-commit-config.yaml文件: 我想更改此設置,以便在所有文件上運行isort和black ,並且基於白名單的已清理文件選擇僅適用於flake8 ...
創建一個使用派生類提供的內部類的類型提示
[英]Create a type hint that uses an inner class to be provided by derived classes
我正在構建一個處理序列化數據的 API,並且我更願意添加對盡可能多的靜態分析的支持。 我受到 Django 的Meta模式的啟發,用於在類上聲明元數據,並使用類似於pydantic的內部庫來檢查類型注釋以進行序列化。 我希望 API 可以像這樣工作:class Base: Data: typ ...
在預提交掛鈎中,有沒有辦法驗證結帳文件夾的“提交后狀態”?
[英]In a pre-commit-hook is there a way to validate the "state after commit" of the checkout folder?
我想在pre-commit掛鈎中運行 static 檢查(例如mypy 、 pylint )。 由於未暫存的更改和未跟蹤的文件,我當前的幼稚方法(僅在pre-commit掛鈎中運行這些檢查)給了我誤報和誤報。 所以我真正想做的是輕松創建提交,通過隱藏未暫存和未跟蹤的本地更改來清理工作區,然后運行測 ...
為什么 Misra 在條件檢查中顯示錯誤“Integral promotion: unsigned char promoted to signed int”?
[英]Why Misra showing error " Integral promotion : unsigned char promoted to signed int" in Condition check?
我正在嘗試修復一個小的 function 的 MISRA 錯誤,它將比較兩個無符號的 integer 值。 但我認為,我已經正確地進行了類型轉換。 在 MISRA 檢查期間,我收到以下錯誤 我試圖通過下面的類型轉換來修復這個錯誤 但我遇到了同樣的錯誤。 這里有什么問題? 一些幫助解決這個錯誤? ...
我可以在任何宏擴展發生之前執行 clj-kondo 掛鈎嗎?
[英]Can I execute a clj-kondo hook before any macro expansions occur?
我有一個 clj-kondo 鈎子,當我只通過一種形式傳遞一個值時,它會告訴我: 當我運行 clj-kondo 時,我得到了一些誤報。 例如,如果我在此文件上運行上面的命令: 我收到以下警告: 看起來這是因為cond->>宏正在擴展,然后掛鈎在擴展代碼上運行。 有沒有辦法確保我的鈎子在 ...
為什么 Groovy @TypeChecked 注釋會捕獲我將 String 放入 int 變量而不是相反的方式?
[英]Why does the Groovy @TypeChecked annotation catch me putting a String into an int variable but not the other way around?
我無法理解 Groovy 類型和類型提升。 以及 Groovy 的@TypeChecked注釋的確切承諾。 -- 或者我可能無法理解某些 Groovy 設計理念。 我正在玩弄 @TypeChecked 注釋,但它沒有按預期運行。 我制作了兩個示例腳本,我預計它們都會因為類型不匹配而失敗。 但是只 ...
如何使用 SAL 注釋 C 或 C++ function 指定它在參數為非 NULL/NULL 時返回 true/false
[英]How do I annotate a C or C++ function using SAL to specify that it returns true/false if a parameter is non-NULL/NULL
使用 Microsoft 的/analyze static cl.exe分析命令行選項進行編譯時,我收到警告 在調用瑣碎的 function 的代碼路徑上,它保證foo不是分析器認為可能存在的 NULL。 瑣碎的 function:bool check_ptr(void* ptr) { i ...
有沒有辦法幫助我 Clang Static Analyzer 理解全局常量對象?
[英]Is there a way for me to help Clang Static Analyzer understand global constant objects?
背景:由於原因,我的代碼喜歡以(非常輕量級的)類對象的形式從其函數返回成功/錯誤代碼值。 這工作正常,但是我很難讓 Clang Static 分析器了解發生了什么; 它的混亂導致它在分析我的程序時發出虛假的“未初始化值”警告。 這里有一些最小的示例代碼來說明/重現(錯誤)行為: // my_st ...