CppCheck开源C/C++静态分析工具安装使用教程

最新推荐文章于 2024-06-03 23:45:00 发布
最新推荐文章于 2024-06-03 23:45:00 发布
阅读量5.1k 收藏 37
点赞数 6
分类专栏: 静态分析 文章标签: C/C 静态分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liweibin812/article/details/84339280
版权

最近由于C/C++项目代码审计,有时候开发不给相关的依赖库,是件很蛋疼的事情。因为无法使用fortify SCA进行编译。从而就无法扫描分析漏洞缺陷。依靠人工审计,简直是一件很崩溃的事情,对我一个做java代码审计的人来说,不怎么懂C/C++,更别说找什么溢出,内存泄漏,危险函数,越界,空指针......,那就是一场灾难。

所以我就在想能不能找到一款开源的并且不需要编译源代码的开源静态分析工具,通过一天的查资料对比,挑选了三款比较中意的C/C++静态分析工具,CppCheck、TscanCode、flawfinder这三款工具。

从使用方便角度对比:CppCheck ≈ TscanCode>flawfinder

cppCheck和TscanCode都可以图形化界面进行操作,flawfinder只能命令行操作,并且误报比较高(其实不怎么好用,害我研究了一天,就勉强加上它)。

扫描缺陷精准度:TscanCode > cppCheck  >  flawfinder 

关于C/C++静态分析工具对比,鹅厂写了个帖子,非常详细,感兴趣的小伙伴可以去看看:

https://blog.csdn.net/wetest_tencent/article/details/51516347

这篇帖子先来说说cppCheck的安装和使用,其它两款在别的帖子在详细讲解吧。

1.CppCheck的安装下载地址:http://cppcheck.sourceforge.net/可进行下载。

2.下载下来之后,进行安装,安装步骤很简单,直接下一步,直到完成即可。

3.Cppcheck支持发现的常见缺陷和漏洞如下:

Cppcheck可检测的问题包括:

  • Dead pointers
  • Division by zero
  • Integer overflows
  • Invalid bit shift operands
  • Invalid conversions
  • Invalid usage of STL
  • Memory management
  • Null pointer dereferences
  • Out of bounds checking
  • Uninitialized variables
  • Writing const data

并将问题分为以下6类:

  • 错误(error):bug。
  • 警告(warning):预防性编程方面的建议。
  • 风格警告(style):出于对代码简洁性的考虑(函数未使用、冗余代码等)。
  • 可移植性警告(portability):64/32位可移植性、编译器通用性等。
  • 性能警告(performance):使代码更高效的建议,但不保证一定有明显效果。
  • 信息消息(information):条件编译方面的警告。

4.导入项目, 选择文件或者文件夹都行,既可以扫单个文件,也可以扫整个项目

5.扫描过程也是很快的,因为其不需要编译代码,所以只是静态分析,没有数据流跟踪器,污染标记,动态分析器等,所以和商业付费软件还是有所差距,之前使用过Coverity ,精准度特别高,做C/C++项目特别好。找了一个项目扫描分析结果如下图:

6.可以将结果导出,生成一个xml文件, 以便于下载继续使用可以打卡继续分析缺陷漏洞。

7.再一次导入结果文件,可以继续分析,需要注意的是,你需要再次关联项目源码,才能在下方的面板中看到源代码片段

 

lwblovezj
关注
  • 6
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
c#毕业设计源码-cppcheck:C/C++代码的静态分析
05-19
c#毕业设计源码Cppcheck GitHub动作 Linux构建状态 Windows构建状态 OSS-模糊 Coverity Scan构建状态 执照 关于名字 该程序的原始名称为“ C ++ check”,但后来更改为“ Cppcheck”。 尽管有名称,Cppcheck还是为C和C ++设计的。 手动的 手册可用。 捐赠CPU Cppcheck是一个资源有限的业余项目。 您可以通过捐赠CPU(1个内核或任意多个)来帮助我们。 很简单: 下载(并解压缩)Cppcheck源代码。 运行脚本:python cppcheck / tools / donate-cpu.py。 该脚本将分析debian源代码并将结果上传到cppcheck服务器。 我们需要这些结果来改善Cppcheck并检测回归。 您可以随时使用Ctrl C停止脚本。 编译中 任何C ++ 11编译器都可以工作。 对于具有部分C ++ 11支持的编译器,它可能会起作用。 如果您的编译器具有Visual Studio 2013 / GCC 4.6中可用的C ++ 11功能,则它将起作用。 要构建GUI,您需要Qt。 构建命令行工
cppcheckTutorial:这是一个展示如何有效使用cppcheck调试器工具的项目
07-06
cppcheck教程 作为对读者的公平警告,本教程是为 Linux 用户编写的。 快速信息 是用于 C/C++ 编程语言的静态代码分析工具。 它是一种多功能工具,可以检查非标准代码。 创建者和首席开发人员是 Daniel Marjamäki。 与 C/C++ 编译器和许多其他分析工具不同,它不会检测代码中的语法错误。 Cppcheck 主要检测编译器通常不会检测到的错误类型。 目标是仅检测代码中的真正错误。 Cppcheck 是下的免费软件。 如何安装 可以在找到下载。 cppcheck 能做什么,不能做什么 ##cppcheck的能力 越界错误检查 班级代码检查 代码异常检查 一定程度上的 过时的函数使用警告 STL 的无效使用 和 如何使用 cppcheck 好的,足够的介绍让我们了解您真正感兴趣的内容; 你实际上如何使用这个调试器? 在下面的代码中,用户初始化一个大小为 10
Cppcheck 详细介绍
最新发布
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
06-03 881
Cppcheck 详细介绍
代码静态检查工具cppcheck(完全支持misra2012)
09-20
作为编译器的一种补充检查,cppcheck对产品的源代码执行严格的逻辑检查,还支持第三方的代码规则检查,譬如最常见的汽车行业的规范misra,目前github上的资源https://github.com/danmar/cppcheck的资源,可以检查misra相关的规则,但无法输出misra的详细信息,本资源可以,是在github上的资源上添加了misra相关的资源文件,是参考misra的规则,若需要misra原文,请去官网https://www.misra.org.uk/购买。另外支持misra规则的检查,需加参数:--addon=misra.json(绝对路径)
CppCheck的使用
爱书不爱输的程序猿
06-21 4266
一、 实验要求 明白CppCheck的配置及原理,并使用CppCheck进行代码缺陷的检查,进行总结。 二、 CppCheck的原理介绍 1、Cppcheck先是分析拆解代码,将每个有效字符作为一个token(token是抽象代码中所有字符的 类,包含字符的字符串,类型等),提供tokenlist,规则实现者通过匹配需要的字符找到感兴趣的代 码,然后通过计算查找bug注意点:其中Cppchec...
cppcheck使用指南
weixin_34327761的博客
05-28 1610
cppcheck使用指南Table of Contents1 cppcheck简介2 cppcheck使用3 cppcheck与其他软件的整合3.1 与VisualStudio的配合3.2 与TortoiseSVN配合1 cppcheck简介cppcheck是一个静态代码检查工具,支持c/ c++代码;作为编译器的一种补充检查,cppcheck对产品的源代码执行严格的逻辑检查...
cppcheck代码检查工具使用说明.docx
04-01
个人原创,汇集windows,linux两大系统安装步骤,包含控制台下使用,VS软件上使用,以及单独的软件使用教程,并配有步骤解说和图示。
开源C++静态分析工具
chszs的专栏
05-08 9255
开源C++静态分析工具Java有一些非常好的、开源静态分析工具,如FindBugs、Checkstyle和PMD。这些工具易于使用、有益于开发,能运行于多种操作系统而且还免费。 商业级的C++静态分析工具产品有Klocwork、Gimpel和Coverity。尽管这些产品很优秀,但其售价昂贵,不适合大多数学生。 另一种办法是找到开源的可运行在多个平台( Windows和Unix )的C++
TscanCode C/C++静态分析开源分析工具安装与使用
热门推荐
liweibin812的博客
11-26 2万+
TscanCode是腾讯静态分析团队开发的一款开源免费的C/C++静态分析工具,由于其比较简单实用,准确率较高,并且扫描C/C++代码不需要进行编译,所以个人觉得对C/C++项目开发挺有帮助的,就简单介绍一下该工具安装与使用。 1.Tscancode下载安装 https://github.com/Tencent/TscanCode 下载完成,点击下一步,一直到安装完成即可,因为Tscanc...
有哪些开源C ++静态分析工具? [关闭]
p15097962069的博客
07-16 528
Java has some very good open source static analysis tools such as FindBugs , Checkstyle and PMD . J
cppcheck操作文档
09-23
详细介绍cppcheck静态代码检测工具的使用
flawfinder
06-26
linux下的工具,对原代码扫描,检测代码中是否有缓冲区漏洞的工具
TscanCode超好用的静态代码扫描工具,支持C++/C#/Lua语言,源码及编译好的安装
07-03
1.特性: 空指针检查,包含可疑的空指针,判空后解引用比如Crash等共3类subid检查 数据越界,Sprintf_S越界共1类subid检查 内存泄漏,分配和释放不匹配同1类subid检查 逻辑错误,重复的代码分支,bool类型和INT进行比较,表达式永远True或者false等共18类检查 可疑代码检查,if判断中含有可疑的=号,自由变量返回局部变量等共计15类检查 运算错误,判断无符号数小于0,对bool类型进行++自增等,共计11类检查 2.使用方法: Windows下,点击安装文件TscanCode\release\windows\TscanCodeV2.14.24.windows.exe进行安装安装完毕之后启动程序,可对目录及单个文件进行扫描。点击“设置”,可以设置扫描的语言类型及勾选/忽略要使用的扫描规则。
静态代码检查工具cppcheck的使用
02-25
目前使用比较广泛的C/C++静态代码检查工具cppcheck和pc-lint等。pc-lint是资格最老,最强力的代码检查工具,但是是收费软件,并且配置起来有一点点麻烦。CppCheck是免费的开源软件。使用起来也很方便。从http:/
cppCheck C/C++静态代码检查
07-15
cppCheck是一款强大的开源静态代码分析工具,专门用于C和C++编程语言。它能够在编译器实际编译代码之前发现潜在的错误和不良编程习惯,从而提高代码质量和可维护性。cppCheck的工作原理是通过解析源代码并进行一系列...
开源静态代码分析工具cppcheck
09-14
cppcheck是一款流行的开源静态代码分析工具,专门针对C和C++编程语言。它的主要优点在于免费、高效且易于集成到开发流程中。cppcheck通过检查语法结构和类型信息,能够发现许多编译器无法检测到的错误,如未初始化的...
CppCheck 码缺陷静态检查工具
06-28
CppCheck是一款强大的静态代码分析工具,主要用于检测C和C++编程语言中的潜在错误。它能够在程序编译之前找出可能存在的语法错误、未初始化的变量、空指针引用、内存泄漏等常见问题,从而提升软件的质量和可靠性。这...
cppcheck静态代码分析工具
09-27
cppcheck是一款针对C/C++编程语言的开源静态代码分析工具,旨在帮助开发者在代码执行前发现潜在的错误和问题。它不仅免费,而且无需安装,用户可以简单地解压并运行,使得它成为一个非常便捷的开发辅助工具。 **...
【代码质量】C/C++代码静态分析与常用分析软件工具
萧海的博客
08-23 1178
文章目录 1 前言2 什么是静态分析3 静态分析方法4 静态分析内容4.1 内存相关4.2 逻辑类4.3 编程风格与其他 5 常用静态分析工具6 参考文章 1 前言   对于大型C/C++项目,一般是以团队分模块开发的方式,代码量数十万或者更多。由于代码量的激增以及开发人员众多,代码出现bug的概率也随之增加。——这是一个数学上概率论的问题,而不是程序员的编码技术问题。其中一部分问题是非执行过程引起的静态问题,如内存泄露、内存越界、野指针、逻辑模糊、死锁等等,在发布代码前可以借助一些检..
linux C++静态测试工具
07-28
对于Linux下的C++静态测试工具,有几个主要的选择: 1. cppcheckcppcheck是一个开源的C/C++静态分析工具,能够检查源代码中的错误、潜在问题和不规范的代码风格。它提供了丰富的静态分析规则,并能够检测内存泄漏、数组越界、空指针解引用等常见问题。 2. Clang Static Analyzer:Clang是一个开源的C/C++编译器前端,其中包含了Clang Static Analyzer。Clang Static Analyzer是基于LLVM框架的静态分析工具,可以进行深度的代码检查,发现并报告潜在的错误和缺陷。 3. Coverity:Coverity是一款商业化的静态代码分析工具,能够帮助开发者发现并修复代码中的缺陷和漏洞。它支持多种编程语言,包括C和C++,并提供了精确的静态分析结果和报告。 以上这些工具都可以帮助你在Linux环境下进行C++代码的静态测试和分析,选择适合你项目需求和预算的工具使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值