Shellsec

Shellsec > Programmering > C++/C > Automatiseret code auditing - Råd søges
Fuld version: Automatiseret code auditing - Råd søges
Du ser lige nu en skrabet udgave af vores indhold. Se den fulde version med ordentlig formatering.

iTick

13-02-2015, 05:47
Jeg ved ikke om der er andre end mig, der har en interesse for dette, men jeg forsøger at udvide mit sortiment af små scripts og tools til at kontrollere kode for småfejl.
De finder selvfølgelig ikke alt, men er gode til at finde småting som underruns, overruns, off-by-one, format string bugs etc.

Er der nogen af jer, der kender nogle tools, designet til C eller C++?
I behover ikke nødvendigvis have erfaring med dem. Jeg skal nok selv læse op på dem. :)

Jeg er sådan set også interesseret i sådanne tools til andre sprog, men primært C/C++, og derfor er tråden lavet i denne sektion.

Inspiration: wikipedia - List of tools for static code analysis

agent00dejay

04-03-2015, 23:18
kan du ikke bruteforce det? :)

iTick

09-03-2015, 21:34
(04-03-2015, 23:18)agent00dejay Skrev: [ -> ]kan du ikke bruteforce det? :)

Det er mest bare noget til at søge gennem kildekode, som finder nogle af de gængse/typiske kodefejl. 

#include <iostream>

using namespace std;

 int main ()

{

   for(int i = 0; i < 20; i++ )

   {

       cout << "value of i: " << i << endl;

   }

   return 0;

}
Ovenstående er et typisk skoleeksempel, men er ofte dårlig kode, da man kan risikere et integer underrun.. Og jeg ved bare, jeg har lavet det nummer i rigtig meget af min egen kode. For mange beslutninger kl. 3 om natten.
Også sådan noget som strcpy(), you know the drill.

Doctor Blue

09-03-2015, 23:54
(09-03-2015, 21:34)iTick Skrev: [ -> ]Det er mest bare noget til at søge gennem kildekode, som finder nogle af de gængse/typiske kodefejl. 

#include <iostream>

using namespace std;

 int main ()

{

   for(int i = 0; i < 20; i++ )

   {

       cout << "value of i: " << i << endl;

   }

   return 0;

}
Ovenstående er et typisk skoleeksempel, men er ofte dårlig kode, da man kan risikere et integer underrun.. Og jeg ved bare, jeg har lavet det nummer i rigtig meget af min egen kode. For mange beslutninger kl. 3 om natten.
Også sådan noget som strcpy(), you know the drill.

Derfor arbejder jeg ikke i C - underruns og overruns er ikke noget jeg orker at bekymre mig om ^^
Jeg kender desværre kun code auditing værktøjer til Ruby, JS og PHP.

iTick

10-03-2015, 07:05
(09-03-2015, 23:54)Doctor Blue Skrev: [ -> ]Derfor arbejder jeg ikke i C - underruns og overruns er ikke noget jeg orker at bekymre mig om ^^
Jeg kender desværre kun code auditing værktøjer til Ruby, JS og PHP.

Og jeg er helt enig. :)
Den primære årsag er, at jeg gerne vil arbejde mere med codeaudits. Så kan jeg passende starte med min egen kode. Det meste af mit C++ er skrevet alt for hurtigt, og alt for sent. Også selv om jeg ikke laver ret meget i C++ mere. Jeg bruger også mest ruby lige nu.. I hvert fald til de ting, jeg ellers ville have lavet i C++.
Shellsec > Programmering > C++/C > Automatiseret code auditing - Råd søges