MISRA C:2012 Dir 4.7

Если функция возвращает информацию об ошибке, то эта информация об ошибке должна быть проверена

Описание

Определение директивы

Если функция возвращает информацию об ошибке, эта информация об ошибке должна быть проверена.

Объяснение

Если вы не проверяете возврата значение функций, которые указывают информацию об ошибке через их возврат значения, ваша программа может вести себя неожиданно. Ошибки от этих функций могут распространяться по всей программе, вызывая неправильный выход, уязвимости безопасности и, возможно, отказы в работе системы.

Реализация Polyspace

Проверка вызывает нарушение, когда вы вызываете чувствительные стандартные функции, которые возвращают информацию о возможных ошибках, и вы делаете одно из следующего:

  • Игнорируйте возврат значение.

    Вы просто не присваиваете возврату значение переменной или явным образом приводите возврат значение к void.

  • Используйте выход из функции (возвращаемое значение или переданный по ссылке аргумент), не проверяя возврата значение на ошибки.

Проверка рассматривает функцию как чувствительную, если вызов функции подвержен отказу по таким причинам, как:

  • Исчерпанные системные ресурсы (для примера, при распределении ресурсов).

  • Изменены привилегии или разрешения.

  • Испорченные источники при чтении, записи или преобразовании данных из внешних источников.

  • Неподдерживаемые функции, несмотря на существующий API.

Проверка рассматривает только функции, где возвращаемое значение указывает, завершена ли функция без ошибок.

Некоторые из этих функций могут выполнять критические задачи, такие как:

  • Установите привилегии (для примера, setuid)

  • Создайте тюрьму (для примера, chroot)

  • Создайте процесс (для примера, fork)

  • Создайте поток (для примера, pthread_create)

  • Блокируйте или разблокируйте мьютекс (для примера, pthread_mutex_lock)

  • Блокируйте или разблокируйте сегменты памяти (для примера, mlock)

Для функций, которые не являются критическими, шашка позволяет приводить функцию возврата значение к void.

Эта директива поддерживается только частично.

Поиск и устранение проблем

Если вы ожидаете нарушения правил, но не видите его, обратитесь к разделу «Стандартные нарушения кодирования не отображаются».

Примеры

расширить все

#include <pthread.h>
#include <stdlib.h>
#define fatal_error() abort()

void initialize_1() {
    pthread_attr_t attr;
    pthread_attr_init(&attr); //Noncompliant
}

void initialize_2() {
    pthread_attr_t attr;
   (void)pthread_attr_init(&attr); //Compliant
}

void initialize_3() {
    pthread_attr_t attr;
    int result;
    result = pthread_attr_init(&attr); //Compliant
    if (result != 0) {
        /* Handle error */
        fatal_error();
    }
}

Этот пример показывает вызов чувствительной функции pthread_attr_init. Значение возврата pthread_attr_init игнорируется, вызывая нарушение правил.

Для соответствия можно явным образом привести возврат значение к void или протестируйте возвращаемое значение pthread_attr_init и проверяйте на ошибки.

#include <pthread.h>
extern void *start_routine(void *);

void returnnotchecked_1() {
    pthread_t thread_id;
    pthread_attr_t attr;
    void *res;

    (void)pthread_attr_init(&attr);
    (void)pthread_create(&thread_id, &attr, &start_routine, ((void *)0)); //Noncompliant
    pthread_join(thread_id,  &res); //Noncompliant
}

void returnnotchecked_2() {
    pthread_t thread_id;
    pthread_attr_t attr;
    void *res;
    int result;

    (void)pthread_attr_init(&attr);
    result = pthread_create(&thread_id, &attr, &start_routine, NULL); //Compliant
    if (result != 0) {
        /* Handle error */
        fatal_error();
    }

    result = pthread_join(thread_id,  &res); //Compliant
    if (result != 0) {
        /* Handle error */
        fatal_error();
    }
}

В этом примере вызываются две критические функции: pthread_create и pthread_join. Значение возврата pthread_create проигнорирован приведением к пустоте, но потому pthread_create является критической функцией (не просто чувствительной функцией), проверка правил все еще вызывает нарушение. Другая критическая функция, pthread_join, возвращает значение, которое игнорируется неявно.

Чтобы быть совместимым, проверьте возврат значение этих критических функций, чтобы проверить функцию, выполненную как ожидалось.

Проверяйте информацию

Группа: Кодовые проекты
Категория: Требуемая
Категория AGC: Требуется
Введенный в R2017a