CERT C: Rec. INT00-C

Осмыслите модель данных, используемую вашими реализациями (реализациями ) (ами)

Описание

Определение правила

Осмыслите модель данных, используемую вашими реализациями (реализациями ).[1]

Реализация Polyspace

Эта проверка проверяет на наличие следующих проблем:

  • Использование объявлений и определений переменных или функций основных типов.

  • Целочисленное переполнение.

  • Целочисленное переполнение константы.

  • Формат спецификаторов строк и несоответствия аргументов.

Примеры

расширить все

Проблема

Проблема возникает, когда вы используете основные числовые типы вместо typedefs которые указывают на размер и сигнальность.

Средство проверки правил использует основные типы данных в объявлениях переменных или функций и определениях. Правило принудительно использует typedefs вместо этого.

Проверка правил не помечает использование основных типов в typedef сами операторы.

Риск

Когда объем выделяемой памяти важен, использование типов определенной длины дает понять, сколько памяти зарезервировано для каждого объекта.

Пример - Прямое использование основных типов в определениях
typedef unsigned int uint32_t;

int x = 0;       /* Non compliant */
uint32_t y = 0;  /* Compliant */

В этом примере объявление x не совместим, поскольку он использует основной тип непосредственно.

Проблема

Целочисленное переполнение происходит, когда использование над целочисленными переменных мможетпривести к значениям, которые не могут быть представлены типом данных результата. Тип данных переменной определяет количество байтов, выделенных для переменного хранилища, и ограничивает область значений допустимых значений.

Точное выделение ресурсов хранения для различных типов с плавающей точкой зависит от процессора. См. Target processor type (-target).

Риск

Целочисленные переполнения целых чисел со знаком приводят к неопределенному поведению.

Зафиксировать

Исправление зависит от первопричины дефекта. Часто детали результата показывают последовательность событий, которые привели к дефекту. Используйте этот список событий, чтобы определить, как переменные в переполненных расчетах получают свои текущие значения. Вы можете реализовать исправление на любом событии в последовательности. Если сведения о результате не отображают историю событий, можно отследить их с помощью опций правого щелчка в исходном коде и просмотреть предыдущие связанные события. Смотрите также Результаты интерпретации Bug Finder в интерфейсе пользователя Polyspace Desktop.

Исправить дефект можно путем:

  • Использование большого типа данных для результата операции, чтобы можно было включать все значения.

  • Проверка значений, которые приводят к переполнению, и выполнение соответствующей обработки ошибок.

Чтобы избежать переполнения в целом, попробуйте один из следующих методов:

  • Сохраните целое число значений переменных ограниченным в пределах половины областью значений целых чисел со знаком.

  • В операциях, которые могут переполниться, проверяйте условия, которые могут привести к переполнению, и реализуйте перенос или поведение насыщения в зависимости от того, как используется результат операции. Результат затем становится предсказуемым и может безопасно использоваться в последующих расчетах.

См. примеры исправлений ниже.

Если вы не хотите устранять проблему, добавьте комментарии к своему результату или коду, чтобы избежать другой проверки. Смотрите Адрес Результаты Polyspace через исправления ошибок или обоснования.

Пример - Сложение максимального целого числа
#include <limits.h>
typedef int int32;
int32 plusplus(void) {

    int32 var = INT_MAX;
    var++;   //Noncompliant          
    return var;
}

В третьем операторе этой функции переменная var увеличивается на единицу. Но значение var является максимальным целым значением, поэтому int не может представлять одно плюс максимальное целое значение.

Коррекция - разный тип склада

Одной из возможных коррекций является изменение типов данных. Сохраните результат операции в большем типе данных (Обратите внимание, что на 32-разрядной машине int и long имеет тот же размер). В этом примере на 32-битной машине путем возврата long long вместо int, ошибка переполнения исправлена.

#include <limits.h>
typedef int int32;
typedef long long llint; 
llint plusplus(void) {

    llint var = INT_MAX;
    var++;   //Compliant          
    return var;
}
Проблема

Целое число переполнение константы происходит, когда вы присваиваете константу времени компиляции переменной со целого числа знаком, тип данных которой не может включать значение. Система координат n-разрядное целое число содержит значения в области значений [-2n-1, 2n-1-1].

Для образца, c - 8-битный char со знаком переменная, которая не может содержать значение 255.

signed char c = 255;

Чтобы определить размеры фундаментальных типов, Bug Finder использует вашу спецификацию для Target processor type (-target).

Риск

Поведение по умолчанию для постоянных переполнений может варьироваться между компиляторами и платформами. Сохранение постоянных переполнений может снизить переносимость вашего кода.

Даже если ваши компиляторы оборачиваются переполненными константами с предупреждением, поведение замыкания может быть непреднамеренным и привести к неожиданным результатам.

Зафиксировать

Проверьте, является ли постоянное значение тем, что вы планировали. Если значение верно, используйте другой, возможно более широкий, тип данных для переменной.

Пример - переполнение константы из расширения макроса
#define MAX_UNSIGNED_CHAR 255 
#define MAX_SIGNED_CHAR 127

void main() {
    char c1 = MAX_UNSIGNED_CHAR;
    char c2 = MAX_SIGNED_CHAR+1;
}

В этом примере дефект появляется на макросах, потому что по крайней мере одно использование макроса вызывает переполнение. Чтобы воспроизвести эти дефекты, используйте Target processor type (-target) где char подписан по умолчанию.

Коррекция - Используйте различные типы данных

Одной из возможных коррекций является использование различных типов данных для переменных, которые переполнены.

#define MAX_UNSIGNED_CHAR 255 
#define MAX_SIGNED_CHAR 127
typedef unsigned char uchar;
void main() {
    uchar c1 = MAX_UNSIGNED_CHAR;
    uchar c2 = MAX_SIGNED_CHAR+1;
}
Проблема

Формат форматированных строковых спецификаторов и аргументов происходит, когда спецификаторы форматированных выходных функций, таких как printf не совпадают с соответствующими аргументами. Для примера - аргумент типа unsigned long должны иметь формат спецификации %lu.

Риск

Несоответствие между спецификаторами формата и соответствующими аргументами приводит к неопределенному поведению.

Зафиксировать

Убедитесь, что спецификаторы формата соответствуют соответствующим аргументам. Например, в этом примере %d спецификатор не совпадает с аргументом строки message и %s спецификатор не соответствует целочисленному аргументу err_number.

  const char *message = "License not available";
  int err_number = ;-4
  printf("Error: %d (error type %s)\n", message, err_number);
Переключение двух спецификаторов формата устраняет проблему. Для получения дополнительной информации о спецификаторах формата см. спецификации функции printf.

Если вы не хотите устранять проблему, добавьте комментарии к своему результату или коду, чтобы избежать другой проверки. Смотрите Адрес Результаты Polyspace через исправления ошибок или обоснования.

Пример - Печать с плавающей запятой
#include <stdio.h>
typedef unsigned long UL;
void string_format(void) {

    UL fst = 1;

    printf("%d\n", fst); //Noncompliant
}

В printf оператор, спецификатор формата, %d, не соответствует типу данных fst.

Коррекция - используйте неподписанный спецификатор длинного формата

Одной из возможных коррекций является использование %lu спецификатор формата. Этот спецификатор соответствует unsigned целый тип и long размер fst.

#include <stdio.h>
typedef unsigned long UL;
typedef int int32;
void string_format(void) {

    UL fst = 1;

    printf("%lu\n", fst); //Compliant
}
Коррекция - используйте целочисленный аргумент

Одной из возможных коррекций является изменение аргумента в соответствии со спецификатором формата. Преобразование fst в целое число, чтобы соответствовать спецификатору формата и распечатать значение 1.

#include <stdio.h>
typedef unsigned long UL;
typedef int int32;
void string_format(void) {

    UL fst = 1;

    printf("%d\n", (int32)fst); //Compliant
}

Проверяйте информацию

Группа: Рек. 04. Целые числа (INT)
Введенный в R2019a

[1] Это программное обеспечение было создано MathWorks, включающее фрагменты: «Сайт SEI CERT-C», © 2017 Университет Карнеги Меллон, Веб-сайт SEI CERT-C + + © 2017 Университет Карнеги Меллон, "Стандарт кодирования SEI CERT C - Правила разработки безопасных, Надежные и безопасные системы - 2016 Edition ", © 2016 Университет Карнеги Меллон, и "Стандарт кодирования SEI CERT C++ - Правила разработки безопасных, Надежные и безопасные системы в C++ - 2016 Edition "© 2016 Университет Карнеги Меллон, с специального разрешения от его Института программной инженерии.

ЛЮБОЙ МАТЕРИАЛ УНИВЕРСИТЕТА КАРНЕГИ МЕЛЛОН И/ИЛИ ЕГО ИНЖЕНЕРНОГО ИНСТИТУТА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, СОДЕРЖАЩИЙСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ, ПОСТАВЛЯЕТСЯ НА БАЗИСЕ «КАК ЕСТЬ». УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, ВЫРАЖЕННЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, В ОТНОШЕНИИ ЛЮБОГО ВОПРОСА, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ГАРАНТИЮ ПРИГОДНОСТИ ДЛЯ ЦЕЛЕЙ ИЛИ КОММЕРЧЕСКОЙ ВЫГОДЫ, ИСКЛЮЧИТЕЛЬНОСТИ, ИЛИ УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ В ОТНОШЕНИИ СВОБОДЫ ОТ ПАТЕНТА, ТОВАРНОГО ЗНАКА ИЛИ НАРУШЕНИЯ АВТОРСКИХ ПРАВ.

Это программное обеспечение и связанная с ним документация не были рассмотрены и не одобрены Университетом Карнеги-Меллон или его Институтом программной инженерии.