一款不错嵌入式静态代码扫描工具

最新推荐文章于 2025-03-26 15:03:53 发布
最新推荐文章于 2025-03-26 15:03:53 发布
阅读量1.6k 收藏 8
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI4MDI4MDE5Ng==&mid=2247521290&idx=2&sn=d0083ed9ec290e722079fa5c01adfe53&chksm=ebb839e1dccfb0f760707fb9ba818b129b8b7a90e99925da5d926f3cd751ab8d56b5db23b9f6&scene=126&sessionid=0
版权

关注+星标公众,不错过精彩内容

a68e2f42d494afa5d3d42ddd1ba9ab32.gif

转自 | 嵌入式大杂烩

之前给大家分享过嵌入式开发常用的代码静态分析工具,比如:PC-lint、LDRA、VectorCAST等。

今天再给大家分享一款不错的嵌入式静态代码扫描工具。

静态代码扫描?

静态代码扫描是指无需运行被测代码,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,找出代码隐藏的错误和缺陷,如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。

同样的,也有运行时诊断的工具,如Valgrind等。

往期博文:Valgrind仿真调试工具的使用

静态代码扫描工具有很多,主流如:

  • cppcheck。免费,开源,更新较慢,可自己拓展开发。

  • clang。免费,开源,更新较慢,可自己拓展开发。

  • TscanCode 。免费,有专人维护,定期根据用户需求扩展规则或新增功能特性。

  • pclint。付费,商业软件,难以进行功能扩展。

  • coverity。付费,商业软件,难以进行功能扩展。

关于这几个工具各个指标的详细对比可参考文章:

https://blog.csdn.net/wetest_tencent/article/details/51516347

本篇博文我们来介绍TscanCode。

TscanCode

TscanCode是腾讯研发的静态代码扫描工具,最早的版本是基于 cppcheck 二次开发。之后又重新自研,不仅支持 C/C++,还支持 C#,Lua 语言,在发掘 C/C++ 空指针、越界、未初始化、C#空引用、Lua变量未初始化等比较有效。

TscanCode 的 Github链接:

https://github.com/Tencent/TscanCode

b9be17ceefa167cfefcafc817b22dfca.png

TscanCode 可编译、运行于多个平台:Windows/Linux/Mac。

TscanCode 主要能够发现的问题如下:

  • 自动变量检查:返回自动变量(局部变量)指针;

  • 越界检查:数组越界返回自动变量(局部变量)指针;

  • 类检查:构造函数初始化;

  • 内存泄露检查;

  • 空指针检查;

  • 废弃函数检查;

下载得到:

908e81edab07a2821b45497b23fcc955.png

各文件夹的内容:

  • release文件夹:存放编译后的二进制文件,包含有Linux、Mac、Windows平台。

  • samples文件夹:存放一些代码示例,分别有C++、C#、Lua语言。

  • trunk文件夹:存放TscanCode源代码。

1、Linux下使用TscanCode

对应的Linux二进制文件存放在如下路径:

TscanCode-master/release/linux/TscanCodeV2.14.2395.linux

0809035dff0db2c6fcda1abd8d542c6a.png

使用前需要加上执行权限:

chmod +x tscancode

例子:使用tscancode检测samples文件夹下关于cpp的一些例子。

3241809ababfe781f340e52691be8c0c.png

在TscanCode-master/release/linux/TscanCodeV2.14.2395.linux路径下执行命令:

./tscancode --xml --enable=all -q ../../../samples/cpp/ >scan_result.xml 2>&1

得到扫描结果文件:scan_result.xml。该文件复制到Windows下使用表格工具打开可比较清晰地看到扫描结果:

4442e8fb3c106bf4a1028333e138bed1.png 6781b25138c8eaa382b3be2c4847b300.png

例子:使用tscancode检测C语言例子。

在TscanCode-master/release/linux/TscanCodeV2.14.2395.linux路径下新建一个文件:

test.c:

#include <stdio.h>

void test(void)
{
    char buf[5] = {0};

    for (size_t i = 0; i < 10; i++)
    {
        buf[i] = 1;
    }
}

int main(int argc, char **argv)
{
    test();
    return 0;
}

扫描:

./tscancode --xml --enable=all -q ./test.c >scan_result.xml 2>&1

结果:

a96eccb847f3e3eeb6535ab1e4241b09.png

2、Windows下使用TscanCode

最新版本的release下已经去掉windows下的可执行文件。可使用V2.14.24版本的TscanCodeV2.14.24.windows.exe。

可参照文章:

https://blog.csdn.net/m0_53168002/article/details/126596565

------------ END ------------

5f0f6c5af24137244e539efccee1f37f.gif

●专栏《嵌入式工具

●专栏《嵌入式开发》

●专栏《Keil教程》

●嵌入式专栏精选教程

关注公众号回复“加群”按规则加入技术交流群,回复“1024”查看更多内容。

5b41b7dda70ba29afc07e3102dd8995c.jpeg

90ef6bc68ffbe6f5752f02a31fdc6e83.png

点击“阅读原文”查看更多分享。

strongerHuang
关注
ARM学习(36)静态扫描规则学习以及工具使用
张一西的博客
12-11 922
笔者来学习了解一下静态扫描以及其规则,并且亲身是实践一下对arm 架构的代码进行扫描
【C/C++ 静态代码检查工具 Cppcheck 】Cppcheck 检测器列表和检查规则大全一览
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
07-11 2592
Cppcheck允许你通过命令行参数来启用或禁用特定的检查器。你可以使用--enable=参数来启用特定的检查器,或者使用--disable=参数来禁用特定的检查器。 例如,如果你只想启用内存相关的检查,你可以使用以下命令: cppcheck --enable=warning,performance,portability,information,missingInclude --suppress=missingIncludeSystem yourfile.cpp 这个命令将启用所有的警告,性能,可移植
探索TscanCode:腾讯开源的代码安全扫描工具
gitblog_00085的博客
04-12 1435
探索TscanCode:腾讯开源的代码安全扫描工具 TscanCode 项目地址: https://gitcode.com/gh_mirrors/tsc/TscanCode 是由腾讯开源的一个强大的静态代码...
TscanCode超好用的静态代码扫描工具,支持C++/C#/Lua语言,源码及编译好的安装包
07-03
1.特性: 空指针检查,包含可疑的空指针,判空后解引用比如Crash等共3类subid检查 数据越界,Sprintf_S越界共1类subid检查 内存泄漏,分配和释放不匹配同1类subid检查 逻辑错误,重复的代码分支,bool类型和INT进行比较,表达式永远True或者false等共18类检查 可疑代码检查,if判断中含有可疑的=号,自由变量返回局部变量等共计15类检查 运算错误,判断无符号数小于0,对bool类型进行++自增等,共计11类检查 2.使用方法: Windows下,点击安装文件TscanCode\release\windows\TscanCodeV2.14.24.windows.exe进行安装。 安装完毕之后启动程序,可对目录及单个文件进行扫描。点击“设置”,可以设置扫描的语言类型及勾选/忽略要使用的扫描规则。
semgrep:快速高效的代码扫描工具
最新发布
gitblog_00732的博客
03-26 982
semgrep:快速高效的代码扫描工具 semgrep Lightweight static analysis for many languages. Find bug variants with patterns that look like source code. ...
静态代码扫描工具汇总
ym & blog
11-22 1万+
一、概述 在软件开发过程中,开发团队往往要花费大量的时间和精力发现并修改代码缺陷。传统的代码评审、同事复审,通过人工方式来检查缺陷仍然是一件耗时耗力的事情。而静态代码扫描工具能够在代码构建过程中帮助开发人员快速、有效的定位代码缺陷并及时纠正这些潜在的问题。 通过调研,本文将着重介绍几款常用的静态代码扫描工具,这些工具分为几类: 轻量级静态代码扫描工具:Cppcheck、 Tscancode 插件嵌...
静态代码扫描工具
crystalsina1013的专栏
04-19 984
eclipse安装
代码扫描工具
steem
12-04 1738
检查代码是否有错误,扫描代码中的问题,减轻上线出错概率,coverity代码
提升代码质量的利器:TscanCode静态代码扫描工具
gitblog_09717的博客
10-31 546
提升代码质量的利器:TscanCode静态代码扫描工具 【下载地址】TscanCode静态代码扫描工具Windows平台 TscanCode是由腾讯研发的一款高效静态代码扫描工具,专为提升代码质量而设计。它旨在帮助开发者在编码阶段就能识别并纠正潜在的代码缺陷,从而有效避免软件开发后期的问题。支持的语言包括但不限于C/C+...
静态代码分析工具大全
BRAVE MAN的博客
12-21 4809
简介 本文是一个静态代码分析工具的清单,但是为公司产品,需要付费使用。共有37个公司,有些公司包含多个工具。其中27个公司有多语言工具,2个公司为.NET工具、1个公司为Ada工具、4个公司为C++工具、1个公司为Java工具、1个公司为PHP工具、1个公司为PL/SQL工具。 1 多语言 1.1 Axivion Bauhaus Suite 软件腐蚀保护解决方案。Axivion Bauha...
聚焦汽车软件开发与测试:静态代码扫描、单元测试与集成测试等方面的实践应用
weixin_49715102的博客
08-05 1390
这是DevOps中的一个概念,即让测试人员在早期介入,更早地开始设计和定义测试用例,并伴随着开发周期进行测试,同时结合自动化测试工具,以尽早发现问题,缩短交付周期。使用自动化测试工具时,我们希望这些工具在精确计算复杂的覆盖率度量的同时,还能以用户友好的可视化形式,直观地展示结果,以便更清晰地了解软件的测试覆盖情况。此外,在使用自动化测试工具的过程中,同样需要注重测试用例的建立是否便捷。)和人工测试的Effort的比较,可以看出,尽管前期自动化测试在设计和定义上需要更多的投入,但长期来看,其优势愈发明显。
代码静态检查工具
03-13
C++代码静态检查工具,可以内存泄漏,代码规范等的规范性检查。
如何看待静态代码分析中的误报?
Pokemogo的博客
02-22 583
“太多误报”可能是避免静态分析最常见的借口。但是,静态分析并不一定要这么嘈杂。
Python代码扫描:轻量级Python静态代码分析工具pyflakes
SteveRocket's-Blog
09-15 1423
在现代软件开发中,代码质量是一个至关重要的因素。好的代码质量可以提高代码的可读性、可维护性和可测试性,从而减少潜在的问题和错误。为了确保代码质量,静态代码分析工具成为了我们们的必备利器。在Python领域,pyflakes是一个受欢迎的轻量级静态代码分析工具。本篇文章我将介绍pyflakes的特点、使用方法和应用场景。
静态代码扫描工具(多种)简要入门介绍-SonarQube社区版-免费、TscanCode工具、PMD工具、flake8工具
m0_53644503的博客
12-30 2181
SonarQube社区版-免费 适用语言:Java, C#, JavaScript, TypeScript, CloudFormation, Terraform, Kotlin, Ruby, Go, Scala, Flex, Python, PHP, HTML, CSS, XML and VB.NET 一、下载安装 由于实际操作中,JDK版本的限制,8及以下,进入Download | SonarQube,下拉到页面最下方,选择6.7.7版本 提前准备好Java环境 ...
静态代码扫描工具 Sonar 配置及使用
洛西纳的专栏
08-21 8823
静态代码扫描工具 Sonar 配置及使用
TscanCode代码扫描工具
热门推荐
code_peak
07-17 1万+
TscanCode介绍 TscanCode 是腾讯研发的静态代码扫描工具,最早的版本是基于 cppcheck 二次开发。之后又重新自研,不仅支持 C++,还支持 C#,Lua 语言,在发掘 C++ 空指针、越界、未初始化、C#空引用、Lua变量未初始化等比较有效。TScanCode 比较适用于游戏开发代码扫描,有着不错的准确率和效率,其性能测试可以见:https://blog.csdn.net/wetest_tencent/article/details/51516347。 TscanCode 主要能够发现
静态代码扫描工具(SAST)Xcheck
zhuruihan_007的博客
03-11 7389
1 Xcheck介绍 Xcheck是一个由腾讯公司CSIG质量部代码安全检查团队自研的静态应用安全测试(SAST,Static application security testing)工具,致力于挖掘代码中隐藏的安全风险,提升代码安全质量。 Xcheck现已支持Golang、Java、Nodejs、PHP、Python五种语言的安全检查,其他语言支持还在开发中。覆盖漏洞包括SQL注入、代码注入、命令注入、跨站脚本、反序列化漏洞、路径穿越等多种漏洞。 在框架支持上,xcheck内置覆盖了常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值