Мы используем Coverity’s Сканирование сборки Сервис для бесплатных и открытых проектов. Я работаю через два заключения Coverity на испорченных параметрах (TAINTED_SCALAR
). Загрязнение является ложным срабатыванием, поэтому я пытаюсь применить код с помощью Coverity __coverity_tainted_data_sanitize__
чтобы очистить вопрос.
Я хочу охранять код, который нужно использовать __coverity_tainted_data_sanitize__
потому что функция используется только с аналитическими сборками с использованием Coverity cov-build
инструмент. То есть я хочу сделать что-то вроде:
void Foo(std::istream& is, ...)
{
std::string name;
is >> name;
#if <SOME_COVERITY_PREPROCESSOR_MACRO>
__coverity_tainted_data_sanitize__(name);
#endif
...
}
У Coverity есть пара примеров использования __coverity_tainted_data_sanitize__
, но они не показывают, как это охранять. Смотри например, Пример функциональной модели для Tainted Scalar а также Явно документируйте механизмы передачи параметров. Я также не смог найти его при запросе препроцессора (см. Ниже).
Какие макросы препроцессора определяет Coverity для определения построения анализа?
Выход препроцессора
$ cov-build --dir ~/temp cpp -x c++ -dM </dev/null 2>&1 | egrep -i "(cov|anal)"Coverity Build Capture (64-bit) version 7.7.0.4 on Linux 3.13.0-68-generic x86_64
Переменные среды
Я нашел некоторые переменные среды, но я предпочитаю избегать отображения переменных среды в определения препроцессора.
$ cov-build --dir ~/temp printenv 2>&1 | egrep -i "(cov|anal)"Coverity Build Capture (64-bit) version 7.7.0.4 on Linux 3.13.0-68-generic x86_64
LD_LIBRARY_PATH=/home/cov-analysis/jars
LD_PRELOAD=/home/cov-analysis/bin/libcapture-linux64-${PLATFORM}.so
COVERITY_TEMP=/tmp/cov-98db841699284e11e33be37fe7061776
COVERITY_LD_LIBRARY_PATH=/home/cov-analysis/jars
COVERITY_JAVA14_WARNING_FILE=/home/temp/warn_about_java14_compilations
COVERITY_ENABLE_CEJ_PER_CLASS_ERROR_RECOVERY=1
COVERITY_IS_COMPILER_DESCENDANT=0
COVERITY_CONFIG_FILE=/home/cov-analysis/config/coverity_config.xml
COVERITY_COMMON_TEMP=/tmp
COVERITY_JAVA_CONFIG=javac#TEMPLATE##java#TEMPLATE##apt#TEMPLATE##javaw#TEMPLATE###
COVERITY_PREV_XML_CATALOG_FILES=
COVERITY_OUTPUT_ENCODING=UTF-8
COVERITY_COMPILER_PATH_MISMATCH_FILE=/home/temp/has_path_mismatches
COVERITY_ENABLE_CECS_WATCHDOG=1
COVERITY_PATHLESS_CONFIGS_FILE=/home/temp/has_pathless_configs
COVERITY_LD_PRELOAD=/home/cov-analysis/bin/libcapture-linux64-${PLATFORM}.so
COVERITY_BUILD_INVOCATION_ID=1
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/home/cov-analysis/bin
COVERITY_BIN=/home/cov-analysis/bin
COVERITY_IDIR=/home/temp
COVERITY_TOP_PROCESS=0
COVERITY_OUTPUT=/home/temp/build-log.txt
COVERITY_EMIT=/home/temp/emit
PWD=/home/cov-analysis
COVERITY_SITE_CC=VBCSCompiler;apt;c++;cc;cl;clang;clang++;csc;csc2;devenv;g++;g++-4.8;g++-4.9;g++-5.1.0;gcc;gcc-4.8;gcc-4.9;gcc-5.1.0;java;javac;javaw;ld;msbuild;xgcc
COVERITY_LOG=/home/temp/build-log.txt
COVERITY_SYSTEM_ENCODING=UTF-8
COVERITY_TOP_CONFIG=/tmp/cov-98db841699284e11e33be37fe7061776/cov-configure/coverity_config.xml
COVERITY_IS_COMPILER=0
На всякий случай это обсуждалось … библиотека читает то, что кажется испорченным значением. Тем не менее, это файл данных, используемый для самопроверки, он расположен в /usr/share
и не произвольный пользовательский ввод. Библиотека не предоставляет эту функцию пользователям, поэтому я не верю, что ею можно злоупотреблять неожиданным образом.
Оба cov-emit и cov-internal-emit-clang предопределяют __COVERITY__
макрос, который, вероятно, то, что вы хотите.
Тем не менее, я думаю, вы должны пометить дефект как ложный положительный в веб-интерфейсе Coverity Scan, и он больше не будет отображаться.
$ cov-build —dir ~ / temp cpp -x c ++ -dM &1 | egrep -i «(cov | anal)» Capity Build Capture (64-битная) версия 7.7.0.4 для Linux 3.13.0-68-generic x86_64
Кроме того, это смотрит на макросы, предопределенные cpp
не переводить. Насколько я знаю, в настоящее время нет простого способа выгрузить все макросы, предопределенные cov-build / cov-translate.
Других решений пока нет …