安全编码实践三:C/C++静态代码分析工具Prefast

最新推荐文章于 2024-09-13 21:44:27 发布
最新推荐文章于 2024-09-13 21:44:27 发布
阅读量2.1w 收藏 9
点赞数
分类专栏: 安全软件开发 文章标签: 代码分析 工具 microsoft warnings windows 程序开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengyun_chu/article/details/2768482
版权
本文介绍了微软的C/C++静态代码分析工具Prefast,探讨了其在安全编码实践中的作用,强调了 Prefast 在Visual Studio和Windows驱动程序开发包中的应用,并列举了一些常见的安全相关警告,如未初始化的内存、缓冲区溢出等问题,提倡在开发过程中使用静态代码分析工具以减少安全漏洞。
摘要由CSDN通过智能技术生成

《程序员》5月文章。申明。文章仅代表个人观点,与所在公司无任何联系。

 

  1. 概述

   在前面的安全编码实践的文章里,我们讨论了GS编译选项和数据执行保护DEP功能。 结论是GSDEP可以有效的缓解缓存溢出类型的安全漏洞的危害。关于这个结论,有两个大家需要值得注意的地方。

   第一:GSDEP是缓解(mitigation)措施。也就是说,代码本身仍然存在着安全漏洞,只是由于GSDEP低了其危害程度。

   第二:GSDEP存在其自身的局限性。例如,GS不是对每一个函数都适用,而DEP则需要一定的硬件支持。

    那么,一个很自然的问题就是,有什么工具可以帮助我们在开发过程中,及早发现并修补代码中存在的安全漏洞?

   答案之一是静态代码分析工具。本文会着重介绍微软提供的C/C++的静态代码分析工具:Prefast。对于托管代码(managed  code),微软提供的静态代码分析工具是FxCop。关于FxCop,我们会在以后的安全编码实践的文章中专门介绍。

  1. Prefast介绍

  • 2.1历史

   Prefast是微软研究院提出的静态代码分析工具。主要目的是通过分析代码的数据和控制信息来检测程序中的缺陷。需要强调的是,Prefast检测的缺项不仅仅是安全缺陷,但是安全缺陷类型是其检测的最为重要的部分。Prefast推出后在微软内部得到了广泛的使用,并经历了若干格版本的升级。现在,微软将这个内部工具商业化,以提供给外部的开发人员使用。

  • 2.2 如何获得Prefast


 

   目前有两个办法可以获得Prefast工具。

  • Prefast包括在Visual Studio 2005 /2008的团队版本(team edition)中。
  • Prefast包括在Windows驱动程序开发包(Microsoft Windows Driver Kits)的开发环境中。


 

   需要指出的是,Visual Studio的团队版本的价格要高于Visual Studio个人版本,而Windows驱动程序开发包是免费下载的,那它们提供的Prefast版本有什么区别?在Visual Studio

最低0.47元/天 解锁文章
chengyun_chu
关注
专栏目录
PC_Lint C/C++ 软件代码 静态分析工具
11-16
PC-Lint是C/C++软件代码静态分析工具,你可以把它看作是一种更加严格的编译器。它不仅可以检查出一般的语法错误,还可以检查出那些虽然符合语法要求但不易发现的潜在错误。 C语言的灵活性带来了代码效率的提升,但相应带来了代码编写的随意性,另外C编译器不进行强制类型检查,也带来了代码编写的隐患。PCLint识别并报告 C语言中的编程陷阱和格式缺陷的发生。它进行程序的全局分析,能识别没有被适当检验的数组下标,报告未被初始化的变量,警告使用空指针,冗余的代码,等 等。软件除错是软件项目开发成本和延误的主要因素。PClint能够帮你在程序动态测试之前发现编码错误。这样消除错误的成本更低。 使用PC-Lint在代码走读和单元测试之前进行检查,可以提前发现程序隐藏错误,提高代码质量,节省测试时间。并提供编码规则检查,规范软件人员的编码行为。 由于PC-LINT对于一般程序员来说可能比较陌生,有好多人安装了也不知道怎样配置和使用。 下面我就根据自己的安装和配置心得对PC-Lint的安装、配置及使用进行下详细说明.本人主要介绍了将PC-Lint集成到VC++6.0和SourceInsight的方法和步骤。
C++代码静态分析工具-Prefast
02-21
1.什么是PrefastPrefast是一种代码分析工具,它能够帮助你找到编译器不能找到的错误或者缺陷。Prefast首次被微软集成到VisualStudio2005TeamSuite中去,使用起来非常方便。2.怎么使用Prefast在vs2005TeamSuite中,...
Cppcheck: 静态C/C++代码分析工具
最新发布
gitblog_09116的博客
09-13 350
Cppcheck: 静态C/C++代码分析工具 cppcheck static analysis of C/C++ code 项目地址: https://gitcode.com/gh_mirrors/cpp/cppcheck ...
C++静态代码分析PreFast
weixin_30386713的博客
08-29 98
1历史 Prefast是微软研究院提出的静态代码分析工具。主要目的是通过分析代码的数据和控制信息来检测程序中的缺陷。需要强调的是,Prefast检测的缺项不仅仅是安全缺陷,但是安全缺陷类型是其检测的最为重要的部分。Prefast推出后在微软内部得到了广泛的使用,并经历了若干格版本的升级。现在,微软将这个内部工具商业化,以提供给外部的开发人员使用。 2如何获得Prefast 目前有两个办法...
基于 Clang和LLVM 的 C++ 代码静态分析工具开发教程
jiayoushijie的博客
06-20 1583
C++ 中经常使用typedef和using来定义类型别名。# 检查类型是否是互斥锁在这里,如果类型是一个typedef,我们使用方法获取其原始类型,然后再进行检查。静态代码分析是一种强大的技术,可以帮助开发者在编译之前发现代码中的潜在问题。通过分析代码的结构和语义,静态分析工具可以发现诸如空指针解引用、资源泄漏、竞态条件等问题。本教程将介绍如何使用 LLVM 库开发一个 C++ 静态分析工具。LLVM 是一个强大的编译器基础设施,广泛用于开发编译器、优化器、静态分析器等工具
提升C++代码质量:Prefast静态分析工具详解
PrefastMicrosoft开发的一款强大的C++...此外,随着软件开发生命周期的推进,Prefast还可以与其他工具(如Clang-Tidy或PVS-Studio)结合使用,以提供更全面的静态代码分析覆盖,进一步提升团队的编码标准和代码质量。
Cppcheck C/C++静态代码分析工具
08-13
NULL 博文链接:https://jacky-dai.iteye.com/blog/2310916
静态代码分析工具清单:开源篇
liwg06
02-21 8264
本文是一个静态代码分析工具的清单,共有26个工具。包括4个.NET工具、2个Ada工具、7个C++工具、4个Java工具、2个JavaScript工具、1个Opa工具、2个Packaging工具、3个Perl工具、1个Python工具
PC Lint --C/C++语言静态分析工具
03-29
pc lint是GIMPEL SOFTWARE公司开发的C/C++软件代码静态分析工具,它的全称是PC-Lint/FlexeLint for C/C++,PC-Lint 能够在Windows、MS-DOS和OS/2平台上使用,以二进制可执行文件的形式发布,而FlexeLint 运行于其它平台,以源代码的形式发布。   功能介绍   PC-Lint 能够检查出很多语法错误和语法上正确的逻辑错误,PC-Lint 为大部分错误消息都分配了一个错误号,编号小于1000的错误号是分配给C 语言的,编号大于1000的错误号则用来说明C++的错误消息。
prefast(微软的C++代码检测工具)
05-10
从WinDDK提取而来: PREfast(Prefast.exe)是微软公司为驱动程式设计所提供的静态的源代码分析工具(static source code analysis tool),可侦测原始程式码中不易用一般编译器找到的特定类型错误,与Windows DDK 建置环境一同安装。目前已整合至Visual Studio 2005 Team Suite中,使用时只要设定‘Enable Code Analysis For C/C++’为‘Yes’即可,接下来PREfast会拦截cl 编译器 (cl.exe) 的呼叫,产生由一次检查所有档案所得的单一联合清单,内容属于XML格式。 侦测错误类别: 内存:内存流失(memory leak)。 资源:没能即时释放资源。 函式使用方式:不正确的函式引数、使用某个过时函式的情况。 浮点运算状态 优先执行规则 核心模式程式安全性考量
代码质量】C/C++代码静态分析与常用分析软件工具
热门推荐
只要思想不滑坡,想法总比问题多。
09-16 1万+
程序静态分析(Program static analysis)是指在不执行代码情况下, 通过词法分析、语法分析、语义分析、控制流、数据流分析等技术对源代码进行扫描。
C++(Qt)软件调试---静态分析工具clang-tidy(18)
mahuifa的博客
01-22 2911
现在很多人在开发中完全忽略了编译器、IDE的警告提示,这怎么可能写出稳定的程序。 clang-tidy是一个由LLVM项目提供的开源工具,是一个静态分析工具,用于进行静态代码分析代码质量改进。
代码质量】C++代码质量扫描主流工具深度比较
wetest_tencent的博客
05-27 2159
本文由腾讯WeTest团队提供,未经授权严禁转载!更多资讯可直接戳链接查看:http://wetest.qq.com/lab/ 微信号:TencentWeTest文/张蓓 引言 静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷,如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。统计证...
安全编程:代码静态分析笔记
fxxysh的博客
08-11 850
P157:缺少无符号类型是JAVA语言的一个缺点
探索Guac:一款创新的安全编码工具
gitblog_00063的博客
04-09 417
探索Guac:一款创新的安全编码工具 项目地址:https://gitcode.com/guacsec/guac 在软件开发的世界中,代码安全是至关重要的。Guac 是一个旨在帮助开发者在编写代码的同时检测安全漏洞的项目。它以其独特的实时检测和修复建议功能,为现代化的DevSecOps实践带来了新的可能。 项目简介 Guac 是一个集成式的代码安全扫描器,它可以无缝地与你的代码编辑器(如VS Co...
Java知识大全 - 十一、Java与安全
LegendaryChen的博客
02-17 943
Java具有许多旨在提高应用程序安全性的功能和技术。以下是与 Java 和安全性相关的一些知识点:身份验证和授权:Java 提供了许多 API 和框架来在应用程序中实现身份验证和授权,包括 Java 身份验证和授权服务 (JAAS)、Java Security Manager 和 Spring Security。安全编码实践:编写安全代码对于确保应用程序不易受到攻击至关重要。Java 开发人员需要遵循安全编码实践,以避免常见的安全问题,例如 SQL 注入、跨站点脚本 (XSS) 和缓冲区溢出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值