【代码质量】静态代码检测pc-lint, visual lint, cpp-check(pclint、cppcheck、TscanCode)...

最新推荐文章于 2023-08-08 21:23:55 发布
最新推荐文章于 2023-08-08 21:23:55 发布
阅读量812 收藏 2
点赞数 1
文章标签: c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42319496/article/details/127158689
版权
本文对比分析了C/C++静态代码扫描工具TscanCode, cppcheck和PCLint,探讨了它们在费用、活跃度、准确性等方面的表现。TscanCode具有较高的有效报错数和准确率,cppcheck和PCLint在某些方面也有所优势。此外,文章还介绍了这些工具的安装与使用方法。" 20068883,1018716,证书认证系统报文传输与接口设计,"['pki', '信息安全', '加密技术']
摘要由CSDN通过智能技术生成

目录

引言 

主流静态代码扫描工具概况 

费用和活跃度

准确性对比

C/C++静态检测/静态分析|TscanCode|cppcheck

TscanCode

Windows下的安装与使用

Linux下的安装与使用

cppcheck

简介

 Linux下的安装与使用

Windows下的安装与使用

cppcheck + jenkins

引言 


静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷。

如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。

主流静态代码扫描工具概况 


腾讯TSC团队自主研发的tscancode工具、cppcheck、coverity、clang、pclint

费用和活跃度

竞品分析的选择了3款游戏项目(约500万行代码)。 图片描述图片描述

在可扩展性上,TSC有专人维护,定期根据用户需求扩展规则或新增功能特性,cppcheck和clang是开源工具,工具更新较慢,但如果用户有特殊需求可以自己扩展开发,pclint和coverity是商业软件,难以进行功能扩展。

同时,TSC有完整代码质量管理闭环平台QOC支持; coverity和clang可用web端的结果展示,但无法自行管理问题流,需要进行二次开发; cppcheck和pclint缺少web端结果展示。

准确性对比

摘自:【代码质量】C++代码质量扫描主流工具深度比较_腾讯WeTest的博客-CSDN博客_代码质量检查工具

4.1空指针规则 
空指针检查规则主要检查是否存在对赋值为空的指针解引用的情况,空指针是c/c++中最大的问题,经常造成程序崩溃的致命错误。因此,C++静态代码分析工具对空指针的检查能力显得尤为重要。

图为五个工具对样本代码扫描结果: 图片描述图片描述

从报错数量和准确率来看:

有效报错数:TSC [401] >coverity[219]>>clang[57] >cppcheck[20]>pclint[14]

准确率: coverity[95%]≈TSC[92%] ≈clang[90%]>>cppcheck[28%]>pclint[14%]

综合评分: TSC[96分] >coverity[77分] >clang[56分]>cppcheck[18分]>pclint[8分]

4.2越界规则 
越界一般来讲是指数组下标越界,或者缓冲区读写越界。这类错误会导致非法内存的访问,引发程序崩溃或者错误。

下图是五个工具对样本代码扫描结果: 图片描述图片描述

有效报错数:coverity[98]>>TSC [18]>pclint[16] >cppcheck[6]> clang[4]

准确率: clang[100%] >coverity[80%]>TSC[70%] >cppcheck[67%]>>pclint[2%]

综合评分:coverity[90分] >TSC[54分]≈clang[55分]>cppcheck[40分]>pclint[1分]

4.3变量未初始化规则 
变量未初始化顾名思义:变量声明后没有赋初值,其分配的内存值是随机的。这也是代码中容易出现的问题,会导致不确定的程序行为,造成严重的后果。

下图是五个工具对样本代码扫描结果: 图片描述图片描述

有效报错数:coverity[75]>>pclint[25] >TSC [9]>cppcheck[8]> clang[1]

准确率: TSC[75%] >coverity[68%]>pclint[26%] > clang[17%] >cppcheck[3%]

综合评分:coverity[82分] > TSC[47分] >pclint[30分] > clang[10分] >cppcheck[6分]

4.4内存/资源泄露规则 
内存泄漏指由于疏忽或错误造成程序未能释放已经不再使用的内存,从而造成了内存浪费的情况。内存泄漏是静态下很难检测的一种错误,一般需要动态分析工具进行检测,如valgrind工具会捕获malloc()/free()/new/delete的调用,监控内存分配和释放,从动态上检测程序是否存在内存泄漏。因此,静态代码分析能检查的内存泄漏就非常有限了,当前各工具主要是从代码写法上检查内存分配和释放是否配对使用。比如:fopen打开文件后在退出函数前是否有执行fclose,new[]和delete[]是否配对使用等。

下图是五个工具对样本代码扫描结果: 图片描述图片描述
注:以上数据排除了cppcheck35个低价值报错,这里排除的cppcheck35个报错都是基本数据类型的new和delete不匹配(如char* p=new char[100];delete p;)虽然这种写法不规范,但由于实际上不会造成内存泄漏,很多项目不会对此进行修复。<

最低0.47元/天 解锁文章
bdview
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C/C++代码静态检测工具PC-Lint常见错误总结
dvlinker的技术专栏
09-25 3628
本文在项目实践的基础上总结出C/C++代码静态检测工具PC-Lint常见错误以及解决办法。
sonar+&+jenkins+进行代码质量检查
11-12
代码检查
Ubuntu vscode 配置c/c++环境 ---- 静态代码检查
correct
07-16 2091
vscode c/c++ 静态代码检查
静态类型检查
MichaelAn的博客
02-13 76
静态类型检查 像 Flow 和 TypeScript 等这些静态类型检查器,可以在运行前识别某些类型的问题。他们还可以通过增加自动补全等功能来改善开发者的工作流程。出于这个原因,我们建议在大型代码库中使用 Flow 或 TypeScript 来代替 PropTypes。 Flow Flow 是一个针对 JavaScr...
linux静态代码检查工具,linux下splint检测C语言代码质量
weixin_39963534的博客
05-04 723
在linux下并没有pclint,可以使用splint代替。splint使用一.splint介绍splint是一个静态检查C语言程序安全弱点和编写错误的工具。splint会进行多种常规检查,包括未使 用的变量,类型不一致,使用未定义变量,无法执行的代码,忽略返回值,执行路径未返回,无限循环等错误。同 时通过在源码中添加注记给出的附加信息,使其可以进行功能更加强大的检查。而注记,则是对文件中的函数、...
cppcheck linux,cppcheck实现c++代码静态检查
weixin_34893555的博客
05-25 852
本文案旨在输出方法: 通过jenkins集成cppcheck实现对c++代码的检查,并输出报告,通过报表可以明确分析出问题Cppcheck是c/c++代码静态分析工具。它提供了独特的代码分析来检测bug,并着重于检测未定义的行为和危险的编码结构。我们的目标是只检测代码中的真正错误(例如,只有很少的误报)。特征独特的代码分析,可以检测代码中的各种错误。命令行界面和图形用户界面均可用。Cppchec...
代码质量静态代码检测pc-lint, visual lint, cpp-checkpclintcppcheck
小鱼菜鸟的博客
08-20 519
引言 静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷。 如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。 主流静态代...
pclint学习资料.zip
04-21
- 同类工具:cppcheck是另一款开源的静态代码分析工具,虽然功能上与PC-lint有重叠,但cppcheck更专注于C++,且免费。 - 差异性:cppcheck在某些方面可能不如PC-lint全面,但其开源特性使其有更多的社区支持和持续...
PC-Lint代码走查工具
06-05
除了PC-Lint,还有其他类似工具,如Cppcheck、Coverity、SonarQube等,它们各有特点,适用于不同的开发环境和需求。 总的来说,PC-Lint作为一款优秀的代码走查工具,对于提升C/C++项目质量和效率有着显著的作用。...
linux 配置C/C++代码静态分析工具cppcheck+git
青豆——廖
07-05 700
linux 配置C/C++代码静态分析工具cppcheck+git
visual lintpc lint 使用实战
jiaoshuchun的专栏
01-07 5177
1) 弄清楚几件事   正常下载的pclint基本上是8。00e版本,选项中没有2005的支持,   从csdn上下载的和visual lintpclint 2005 是8.00x版本,支持2005。 (2)通过D:/Lint/lint-nt -v -i"D:/Lint" std.lnt   来查看版本号。“-i"D:/Lint" std.lnt”可以不写。(3)
关于C++静态代码扫描工具及基于jenkins流水线搭建vs报告分析工具开发的小总结
最新发布
lw的博客
08-08 1084
常用使用命令–xml 将xml格式的结果写入错误流-q, --quiet 不显示进度报告。-h, --help 打印帮助信息执行文件 从github下载最新代码包 下载地址https://github.com/Tencent/TscanCode,如下为下好的代码暂时无法在飞书文档外展示此内容Tscancode 扫描示例代码C++代码路径为 \tscancode-master\samples。
Java非空判断相关的弱点类型汇总与比较
oscar999的专栏
03-08 424
缺少非空判断可能会导致`NullPointerException`异常,严重会发生程序崩溃或出现其他异常, 而编码过程中非空判断的类型也有多种。
Java代码弱点与修复之——Explicit null dereferenced(显式空间接引用)
oscar999的专栏
03-07 796
Explicit null dereferenced, 显示空间接引用。是 Coverity 静态代码分析工具检测到的一种中风险缺陷。这种缺陷通常发生在尝试使用空指针引用调用对象上的方法或访问属性时。 Explicit null dereferenced的缺陷可能会导致程序崩溃或产生不可预测的结果。
linux下gperf工具(tcmalloc)检查C/C++代码内存泄露问题操作说明
m0_37915666的博客
02-09 2746
gperf工具tcmalloc检查C/C++代码内存泄露
代码质量静态代码检测pc-lint, visual lint, cpp-checkpclintcppcheckTscanCode
bandaoyu的note
08-20 8352
引言 静态代码分析是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷。 如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。 主流静态代码扫描工具概况 腾讯TSC团队自主研发的tscancode工具、cppcheck、coverity、clang、pclint 费用和活跃....
代码质量】C/C++静态检测/静态分析|TscanCode|cppcheck
小鱼菜鸟的博客
08-21 1335
目录 TscanCode Windows下的安装与使用 Linux下的安装与使用 cppcheck 简介 Linux下的安装与使用 Windows下的安装与使用 TscanCode https://opensource.tencent.com/projects TscanCode支持以下类型规则扫描: 空指针检查,包含可疑的空指...
代码质量】C/C++代码静态分析与常用分析软件工具
热门推荐
只要思想不滑坡,想法总比问题多。
09-16 1万+
程序静态分析(Program static analysis)是指在不执行代码情况下, 通过词法分析、语法分析、语义分析、控制流、数据流分析等技术对源代码进行扫描。
VC2008集成PC-Lint静态代码检查指南
"将PC-Lint集成到Visual Studio 2008中,实现静态代码检查" PC-Lint是一款强大的静态代码分析工具,用于检查C和C++代码中的潜在错误、不良编程习惯以及不符合编码规范的地方。将其集成到Visual Studio 2008 (VC2008...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值