Разработчики коммерческого статического анализатора PVS-Studio (http://www.viva64.com/ru/pvs-studio/) опубликовали отчёт о разработке Linux-версии продукта и продолжили проверку открытых проектов. В статье (http://www.viva64.com/ru/b/0451/) рассказано, как после 10 лет выпуска продукта для Windows, было решено адаптировать его для Linux, и какие подводные камни пришлось обойти для решения этой задачи. Около трёх лет назад консольное ядро анализатора PVS-Studio было портировано на Linux за пару месяцев, но создание на его основе конечного программного продукта потребовало огромной работы, решения непредвиденных проблем и учёта различных нюансов, таких как поддержка расширений GCC и интеграция с различными сборочными инструментариями.Что касается работы по выявлению ошибок в открытом ПО, то следом за проведённой в августе проверкой (http://www.viva64.com/ru/b/0425/) набора компиляторов GCC, анализ ошибок был проведён (http://www.viva64.com/ru/b/0446/) и для кодовой базы LLVM. Для проверки LLVM была использована Linux-версия (http://www.viva64.com/ru/pvs-studio-download-linux/) PVS-Studio, а для отслеживания вызовов компилятора задействован формат JSON Compilation Database (http://clang.llvm.org/docs/JSONCompilationDatabase.html). Несмотря на то, что LLVM ранее уже проверялся в PVS-Studio в 2011 (http://www.viva64.com/ru/b/0108/) и 2012 (http://www.viva64.com/ru/b/0155/) годах, повторная проверка выявила порцию новых ошибок. В частности, обращается внимание на проблемы с использованием небитовых полей, досрочным завершением циклов, путаницей с указанием операторов "||" и "&&", опечатками в определении условий, возвратом функцией ссылки на временный локальный объект, повторным присваиванием, подозрительным переопределением указателей, путаницей при использовании release() и reset(), разыменованием нулевого указателя и т.п
Также можно отметить публикацию в свободном доступе электронной книги "Главный вопрос программирования, рефакторинга и всего такого (http://www.viva64.com/ru/b/0391/)", в которой Андрей Карпов, технический директор компании "СиПроВер", делится своим опытом разбора ошибок в программах на C/C++ и приводит 42 рекомендации, которые помогут избежать ошибок при программировании и повысить качество кода. Каждая рекомендация сопровождается практическим примером.
URL: http://www.viva64.com/ru/b/0446/
Новость: http://www.opennet.me/opennews/art.shtml?num=45493
Как достала реклама этой бесполезной проприетарщины.
Большинсто проектов живут и успешно развиваются без этих анализаторов.
Многое зависит от соглашений по стилю кодирования.
соглашениями по стилю кода закрывать потенциальные грабли?
это мощно :)
Однако так делают. MISRA C - это такой себе набор соглашений. Все остальное - у кого как. Кстати сабж тоже мог бы проверять что constraints оного - соблюдаются. Имеючи статический анализатор - запилить это по идее фигня вопрос и наверное больше сводится к экономической целесообразности (автомотивщики - народ отнюдь не бедный, но большинство из них проблему с тулсами уже как-то решили).
И как, например, потенциальный resource leak или data race обнаружить, приведя всё к единому стилю?
> Большинсто проектов живут и успешно развиваются без этих анализаторовИ Coverity тоже никто не пользуется? И даже просто Clang Static Analyzer?
Верно подмечено. Можно написать в стандарт, "не делайте опечаток вида if (a.x == a.x)", но толку... :) А ведь это одна из самых распространённых ошибок - http://www.viva64.com/ru/examples/V501/
Ну во первых не бесполезной. Мы прошлись по нескольким своим проектам и получили РЕАЛЬНЫЕ ошибки в коде, которые пропустили при тестировании, которые проигнорировал cppcheck & clang. Польза вобщем-то есть, особенно когда кода много и пишут его быстро-быстро.Во вторых - а с чего вы взяли что большинство проектов живут без анализаторов? Потому что они об этом Вам не сказали?
В третьих, соглашения это прекрасно, но от ошибок спасает слабо.
А по поводу проприетарщины - программистам очень непросто зарабатывать на open-source проектах, а кушать хотят все.
ps. Андрей Карпов, спасибо за быструю реакцию в почте на вопросы :)
Опытные, профессиональные кушать хотят - возраст.А для тех, кто ещё не стал опытным, профессиональным,
анализатор будет нужен. Они плохо знают о вреде
сомнительных, мутных инструкции.
Sanity check пренебрегают, мало знают о создании
встроенной системы отладки...
Примеров много, но разбор, анализ чужого кода не всем
дается. Поэтому есть много однотипных проектов
написанных с нуля.
> А для тех, кто ещё не стал опытным, профессиональным, анализатор будет нужен.Нет, нет! Анализатор это в первую очередь как раз инструмент профессиональных разработчиков. Это ответ на вопрос "что мы ещё можем сделать для качества кода?". Ошибки непрофессиональных разработчиков как правило менее критичны. Намного серьезней и дорожи ошибки профессионалов в ответственных проектах. Если проект ответственный, но его делают новички, то тут явно что-то не то, и тут не до статического анализа.
Каждая сразу найденная ошибка в ответственном проекте, это большая экономия ресурсов. А то, что профессионалы не делают глупых ошибок, это миф - http://www.viva64.com/ru/b/0116/
вы простите меня. Самые дорогие ошибки - это ошибки архитектуры и методов решения задачи.
Остальное так или иначе исправляется, особенно при грамотном покрытии кода тестами.
И не лениться создавать хотя бы regression testing suite.
Буквально сегодня исправил в программе ошибку выхода за пределы памяти.
В программе, которой фирма пользуется уже лет десять.
Ошибка, правда, была внесена сравнительно недавно - при изменении совершенно второстепенной мелочи, в которой, собственно, эта ошибка никак не проявлялась.
Зато при определенном стечении обстоятельств (которых в тестах не предусмотришь) программа стала падать совершенно в другом месте, из-за повреждения одного байта тем некритичным куском.
И это не какой-то исключительный случай, а совершенно рядовой. Cppcheck на исходниках прогоняется перед каждым релизом.
вы много проектов знаете с хорошим покрытием тестами?
Возьмем для примера linux-kernel - какая часть его покрытая LTS / XFS-test и похожим ?
Как часто туда добавляются хотя бы regression tests ?
Никто не спорит, что ошибки при разработке архитектуры фатальны. Однако и инструментов нет, которые автоматически бы их выявили и помогли исправить. Приведу аналогию.Фатально написать вместо книжки "задачник по математике", детектив "труп в бочке". И тут Microsoft Word не поможет. Никак он вам не скажет, что пишется не та книга. Однако на основании этого нет смысла говорить, что проверка ошибок в Word бессмысленна и не решает глобальных проблем. Да, не решает. Но она помогает и экономит время на написание и вычитывание текста. И значит полезна.
С анализатора всё тоже самое.
P.S. Неужели во всех этих проекторах нет тестов?!
http://www.viva64.com/ru/inspections/
> P.S. Неужели во всех этих проекторах нет тестов?!
> http://www.viva64.com/ru/inspections/Покажите хоть к одному из них полный Unit test suite, или regression test suite.
Из всего списка нечто подобное есть в OpenJDK, FreeBSD/Linux kernel и усе..
Дальше начинается вопрос покрытия исходников тестами - для примера рассмотрим LTS.
http://ltp.sourceforge.net/test/coverage/
старенький график - но покатит.Так что вы там говорите о наборах тестов?
> вы простите меня. Самые дорогие ошибки - это ошибки архитектуры и методов решения задачи.Ну давай посмотрим на примере. Сбой на старте arian 5 обошелся в 370 миллионов баксов. Ошибка была не архитектурная, а как раз из того класса, что выявляются статическим анализаторами. По результатам были сделаны выводы и "The subsequent automated analysis of the Ariane code (written in Ada) was the first example of large-scale static code analysis by abstract interpretation"
Приведи пример обошедшейся дороже "ошибки архитектуры и методов решения задачи". Только в реальных деньгах, а не в "потенциальных".
>> вы простите меня. Самые дорогие ошибки - это ошибки архитектуры и методов решения задачи.
> Ну давай посмотрим на примере. Сбой на старте arian 5 обошелся в
> 370 миллионов баксов.Сколько из них не покрыты страховкой? 0? значит ошибка не обошлась ничего.
Весело в вашем розовом мире, все убытки всегда покрывает волшебная страховка, все счастливы, никто не разоряется и из окон не прыгает.
если экономить на страховании рисков, то да..
Вон примеры с Союзами намекают что страховать надо все целиком. Ибо отказ может быть в сотне разных мест,
и дополнительные расходы по обеспечению качества - обойдутся дороже страховки.
> если экономить на страховании рисков, то да..
> Вон примеры с Союзами намекают что страховать надо все целиком. Ибо отказ
> может быть в сотне разных мест,
> и дополнительные расходы по обеспечению качества - обойдутся дороже страховки.Да только вы забыли сказать что после каждого фейла, размер страхового взноса возрастает. И если изделие не серийное, то возрастает не линейно.
выше упомянули MISRA, намного проще встроить такие правила в стиль написания - когда ошибки ловит компилятор. Да, прийдется помнить 100 типов а не совать по всюду u32 как любят делать в ядре линукса, которое избавляется от типизации. Но результат того стоит.
Страховка не отменяет убытков, а размазывает их. Это если бы кто-нибудь компактно насрал Вам на коврик, а Вы вместо убрать, размазали бы ее по всей площадке общественной шваброй:-)
> вы простите меня. Самые дорогие ошибки - это ошибки архитектуры и методов
> решения задачи.
> Остальное так или иначе исправляется, особенно при грамотном покрытии кода тестами.
> И не лениться создавать хотя бы regression testing suite.мы нашли(и исправили) ошибку в своём DHCP-сервере, который 4 года работает у клиентов без нареканий.
плохую ошибку(для нас), и в случае срабатывания - дорогую.
и никакие тесты не помогли. хотя с архитектурой вроде и ОК
вы анализировали покрытие веток/строк тестами? возможно ваши тесты просто не дают толкового покрытия ?
> Опытные, профессиональные кушать хотят - возраст.глупости говорите. "Опытные, профессиональные кушать хотят" программисты, в основном растят тех, что потом делают эти всякие опенсоурсы в свободное от работы время
> А для тех, кто ещё не стал опытным, профессиональным, анализатор будет нужен. Они плохо знают о вреде сомнительных, мутных инструкции.
ровно наоборот. больше стажа/опыта - больше внимания к логике, меньше внимания к мелочам
> Примеров много, но разбор, анализ чужого кода не всем дается. Поэтому есть много однотипных проектов написанных с нуля.
если "программиста" нет велосипеда за душой - возможно он не программист, а копипастер со стажем. как идея?
Потому что создатели анализаторов сами все проверяют и отправляют разработчикам.
>Большинсто проектов живут и успешно развиваются без этих анализаторов.
>Многое зависит от соглашений по стилю кодирования.Не-не-не-не! Большинство проектов живут без этих всех новомодных "соглашений по стилю кодирования". Они убивают креатив! Понавыдумывали, понимаешь всяких CI, соглашений... Если задуматься то и голова (ну накрайняк бумажка)- багтрекер.
А вот это вот все это происки копирастов для угнетения свободолюбивых хакиров!
Ну, может это и реклама, но с реальной пользой. Ошибки-то находятся.
По факту вообще получается trial-режим для отдельно взятого проекта.
> Ну, может это и реклама, но с реальной пользой. Ошибки-то находятся.Что-то во всех их постах идёт перечисление ворнингов, а вот реально зарепорченных багов в проекты я не видел. Одно дело я, как мимокрокодил, увижу какую-то там ошибку, а интересно было бы увидеть мнение разработчиков самого проекта, чтобы они подтвердили, что да, реальная ошибка.
Плохо смотрели. Напримерhttps://www.freebsd.org/news/status/report-2016-01-2016-03.h...
https://reviews.freebsd.org/D5245
https://lists.freebsd.org/pipermail/freebsd-doc/2016-Februar...
Абсолютное большинство - false positive. Ok.
Не знаю ни одного статического анализатора, у которого не было бы абсолютного большинства false positives.С тем же coverity scan false positives вычищать долго и мучительно, но потом при проверке найтли-билдов польза очень заметная.
> Не знаю ни одного статического анализатора, у которого не было бы абсолютного
> большинства false positives.
> С тем же coverity scan false positives вычищать долго и мучительно, но
> потом при проверке найтли-билдов польза очень заметная.у coverity есть язык для разметки и подсказки разных спорных участков - очень полезная вещь, которая сокращает количество false positive до минимума.
Разработчики бывают благодарны нам и исправляют многое из описанного нами. Часто сами выполняют более тщательный анализ проекта. Нам просто не интересно это отслеживать. Google поможет найти правки, если интересно.
> Разработчики бывают благодарны нам и исправляют многое из описанного нами. Часто сами
> выполняют более тщательный анализ проекта. Нам просто не интересно это отслеживать.
> Google поможет найти правки, если интересно.а интересно читать что большинство из того что вы зарепортили - является мусором и ошибочными срабатываниями?
> Ну, может это и реклама, но с реальной пользой. Ошибки-то находятся.
> По факту вообще получается trial-режим для отдельно взятого проекта.а по факту ты его не купишь, если не работаешь в крупной конторке, о какой пользе идет речь?
Так а где мне наконец скачать free-версию для домашнего использования?
Жди когда на торрентах появится.
А вообще посмотри в сторону cppcheck.
cppcheck, к сожалению, очень сильно отстает от коммерческих анализаторов.Для опенсорс-проектов можно использовать coverity scan.
Рассказывайте, ага. Вы cppcheck как используете? "cppcheck dirname"? Это находит только самые жёсткие ошибки, но этот анализатор находит многое. Пожалуй, PVS его уделывает множеством проверок на копипасту, но в остальном cppcheck адекватен, а порой даже более умён.
> cppcheck, к сожалению, очень сильно отстает от коммерческих анализаторов.
> Для опенсорс-проектов можно использовать coverity scan.к сожалению, надо использовать все, пусть это и кушает процы. так дешевле.
они действительно разные и никак друг друга не заменяют.
> Жди когда на торрентах появится.
> А вообще посмотри в сторону cppcheck.llvm scan-build по ощущениям получше все же будет.
Было бы круто, если бы вы выложили прайс на сайте. Необходимость согласовывать цену индивидуально особого доверия не вызывает.
Да, ё! Почему это, на, нет цены на сайте? Проприетарщики!!! Чтоб вас!
У coverity тоже публичного прайса нет. Похоже, на этом рынке так эффективнее ("а сколько у тебя есть?").
Ага ) А сколько у тебя есть? А если найду? )))
> Также можно отметить публикацию в свободном доступе электронной книги "Главный вопрос программирования, рефакторинга и всего такого", в которой Андрей Карпов, технический директор компании "СиПроВер", делится своим опытом разбора ошибок в программах на C/C++ и приводит 42 рекомендацииКруто. Была бы бумажной, обязательно бы купил и поставил бы на полку в ряд своей золотой коллекции: C++ алгоритмы Седжвик, томики Кнута, эффективный современный c++ маерса, книги Криса Касперски.
iPony плохого не посоветует.
> 41. Сопротивляйтесь добавлению в проект новых библиотек, пишите свои велосипеды со своими няшными ошибками!
> iPony плохого не посоветуетПони, зачем ты так?
Уважаемые СиПроВер, от ваших проверок открытых проектов раз в несколько лет, этим проектам ни холодно, ни жарко. Если действительно желаете сделать доброе дело, дайте им лицензию. А использовать их для своей рекламы - самое подлое, что могут делать проприетарщики для навязывания своего продукта.
Очень хорошее замечание. Действительно, делать рекламу проприетарного продукта за счет горба (и не одного) героев-разработчиков, кто в свободное время забесплатно накодил достаточно хорошие проекты - некрасиво. Поддерживаю насчет предоставления лицензии. А разработчики уже сами решат - отрекламировать ваш продукт или нет. Слишком уж навязчива стала реклама, я конечно раз за вас и желаю дальнейших развитий)
А почему Вы решили, что мы никому ничего не даём? У нас немало бесплатных пользователей.
Однако, это не означает, что мы должны подарить бесплатную лицензию, скажем Google.
И часто менеджеры по закупкам из Гугла забегают на опеннет?
> И часто менеджеры по закупкам из Гугла забегают на опеннет?- вы верите в Сатану?
-- нет
- а зря, он - то в Вас верит
> А почему Вы решили, что мы никому ничего не даём? У нас
> немало бесплатных пользователей.все как один с недельной лицензией?
вы можете пиариться только на открытом софте,
потомучто _внезапно_ доступа к коду проприетарного софта у вас нет (ваш кэп)
и даже если бы он был вас бы могли серьёзно взять за "шары" если б вы начали вонять на весь инет что вы нашли 115 багов в коммерческом продукте ибо это ушат помоев на вашего же клиента.а так вы посути типа помогаете опенсурсу выявляя ошибки в коде, ага, но на самом деле это вам абсолютно фиолетово, для вас это просто единственный доступный способ (коричневого и жидкого) пиара
и как вам многие уже замечали - вы даже прайс человеческий на сайте не можете выложить ибо вы как хорошие проприерасты-падальщики будет пытаться высосать всё из потенциального клиента
ФУ ТАКИМИ БЫТЬ
>[оверквотинг удален]
> "шары" если б вы начали вонять на весь инет что вы
> нашли 115 багов в коммерческом продукте ибо это ушат помоев на
> вашего же клиента.
> а так вы посути типа помогаете опенсурсу выявляя ошибки в коде, ага,
> но на самом деле это вам абсолютно фиолетово, для вас это
> просто единственный доступный способ (коричневого и жидкого) пиара
> и как вам многие уже замечали - вы даже прайс человеческий на
> сайте не можете выложить ибо вы как хорошие проприерасты-падальщики будет пытаться
> высосать всё из потенциального клиента
> ФУ ТАКИМИ БЫТЬТо есть вы считаете что взаимной выгоды тут нет?
Бесплатную лицензию всем, на ком пиаритесь -> это справедливо.
Можно узнать, зачем коммерческой компании делать добрые дела? Социализм закончился, на дворе капитализм, в нем так не принято, делающий добрые дела уничтожается конкуренцией, которую так любят превозносить дурачки.Каждый найденный баг это сэкономленое время разработчиков и нервы пользователей. Так что польза от этих проверок есть. Причем куда большая, чем от изобличающих проприетарщиков постов на форуме. Хотя и меньшая, чем от прямого вложения денег в проекты. Но опять таки, кто сказал, что цель компании помочь open source проектам, я таких заявлений от них не видел.
Никто вам ничего не навязывает, более того, на новости висит предупреждение, что это реклама. Если вы не перевариваете рекламу вообще ни в каком виде, то просто не заходите в эту новость. А то очень напоминает: "я за вами две недели уже бегаю, чтобы рассказать как вы мне не интересны"
> Никто вам ничего не навязывает, более того, на новости висит предупреждение, что это реклама.Навязывание и агрессивно пропихиваемая везде реклама - одно и тоже. Выходит следующее: "Никто вам ничего не рекламирует, более того, на новости висит предупреждение, что это реклама."
Хоть рекламу и не люблю, но к такого рода рекламе отношусь положительно.И, если бы мне нужен был статический анализатор настолько, что я готов был бы заплатить деньги, то PVS-Studio баллов прибавил бы за того рода пиар.
вброс.
Народ, а вы не думали почему именно открытые проекты проверяют? Да у них бoльше ни к чему другому нет доступа. Вот они и толкают свое пoдeлие под ширмой добрoжелателей.
И да, проверки это хорошо, никто не спорит. Но цель их - не сделать мир лучше, а пропиapиться.
> Но цель их - не сделать мир лучше, а пропиapиться.Это плохо - работать за деньги, а не за идею?
> Да у них бoльше ни к чему другому нет доступа.Да, так бывает. Компании покупают программы, пользуются ими, и не отправляют отчёт разработчикам вместе с разрешением его публиковать. Было бы странно, если бы на сайте были результаты проверки закрытого ПО.
> Но цель их - не сделать мир лучше, а пропиapиться.
Пропиариться (точнее, прорекламироваться) -- наверняка. Но из чего следует, что нет цели сделать мир лучше?
Вы считаете, что одно автоматически исключает другое?
> Народ, а вы не думали почему именно открытые проекты проверяют?есть легальный метод проверки других? :)
> Вот они и толкают свое пoдeлие под ширмой добрoжелателей.
Вот вы знаете, даже писать такое неприятно, но таки:
ПРОПИХНИТЕ ЛУЧШЕОбосрать - то все мастера. а ребята реально пишут рабочий и полезный проект.
Мои программисты обсуждают надо/не надо. Да, он не идеален, но блин, Вам "шашечки или ехать"?
> есть легальный метод проверки других? :)В следующем предложении написано что его нет.
> ПРОПИХНИТЕ ЛУЧШЕИ не собираюсь. Я в данном контексте потребитель. А потребителю реклама н е н у ж н а в о о б щ е. Реклама нужна только торгашам. Но и как продавец я был бы против любого подобного агрессивного пропихивания.
> А потребителю реклама не нужна вообщеА потребитель о продукте должен узнать как? Как он должен хотя бы приблизительно оценить, что это за штука и почему он должен хотеть её купить? К тому же продукт, мягко говоря, нишевый и в супермаркете о нём не объявишь.
>> А потребителю реклама не нужна вообще
> А потребитель о продукте должен узнать как? Как он должен хотя бы
> приблизительно оценить, что это за штука и почему он должен хотеть
> её купить? К тому же продукт, мягко говоря, нишевый и в
> супермаркете о нём не объявишь.в гугле забанили ?
Потребитель может узнать о товаре посредством сайт производителя, форумов, витрин магазинов.
> А потребитель о продукте должен узнать как?Потребитель производителю ничего не должен
Ну и проверяли бы и выкладывали бы дальше, у себя на сайте. Зачем это постить на всех IT ресурсах рунета? У вас, собственно, какая основная цель, исправить проекты или пропиарить свой продукт?
> Разработчики коммерческого статического анализатора PVS-Studio опубликовали отчёт о разработке Linux-версии продукта и продолжили проверку открытых проектов.Я разочарован в администрации opennet'а. Могли бы оформить в виде списка функций и отлавливаемых ошибок..., типа зарелизили новую версию, она может то-то и то-то. Хоть какая-та интересность была бы. А запостили совершенно не новость, а откровенную рекламу.
На сайте нет цены, товарищи явно уходят от уплаты налогов. Покупая таких вы воруете у населения страны.
s/населения/государства/
Ох уж эти анонимы и срыватели покровов. Будете делать свой стартап, узнаете много интересного, например, про валютный контроль. Это всё настолько бред, что даже комментировать не интересно. Для переживающих за Россию, спешу заверить, что налоги мы платим в полном объеме.
А, тогда увы. Скачаю на торрентах.
Не убедили, пускай каждый остается при своем мнении
а что вам в валютном контроле не нравится? Нет возможности переводить баксы друзьям?
А вы открыли мне глаза. До этого отношение к PVS было строго отрицательное, но если то что вы говорите правда, я задумаюсь о том чтобы купить у них лицензию, даже если не буду пользоваться продуктом. Всячески поддерживаю уход от налогов, особенно в этой стране.
Когда Вы не платите налоги, ваши деньги остаются у вас. Когда СиПроВер не платит налоги, он ворует у Вас. На дороге, по которой Вы поедете будет +1 яма, ваша пенсия будет на 1к меньше, в клинике, возможно, не окажется нужного вам врача, из-за того, что той самой копейки ему не хватило чтобы согласиться на предложенный оклад.
*ля люди, вы сайтом не ошиблись?
Тот, кто опубликовал новость - точно сайтом ошибся, остальное просто следствие
Цена не указана чтобы содрать всё до последней копейки
> Цена не указана чтобы содрать всё до последней копейкиСудя по всему они разрываются между желанием держать адекватную цену для запада и невозможностью потянуть эту цену отечественными покупателями. Но всё равно, цены публиковать нужно, иначе они половину клиентов теряют. Лучше бы работали в открытую, но сделали большую скидку для отечественных производителей.
> Но всё равно, цены публиковать нужно, иначе они половину клиентов теряют.Не теряют. Вообще-то это нормальная практика для софта такого уровня.
И в каждой такой новости СиПроВер в деталях рассказывают про криворукость разработчиков открытого ПО, какие глупые они совершают ошибки и опечатки, и вообще дураки. Фу, противно.
> рассказывают про криворукость разработчиков открытого ПО, какие глупые они совершают ошибки и опечаткиВ закрытом ПО не менее глупые ошибки и опечатки сплошь и рядом (и даже в коде по-уши покрытом тестами, о которых тут полтреда исписали). Например, ту же Винду (вплоть до 8, в которой поправили) можно было убить в BSOD шестью строчками на Си (из юзерспейса, не драйвер). Причём ошибка была исключительно дурацкая и по невнимательности, которую вполне, как мне кажется, статистический анализатор бы раскусил. Вот этот CVE: https://vulners.com/cve/CVE-2013-1333
Но ты же понимаешь, что код закрытого продукта в рекламной статье опубликовать тебе никто не даст.
Толстый СиПроВер бежит по головам разработчиков открытых проектов, ломая им шеи, и попутно тыча в их слабые места -> вот такая ваша реклама для меня. Но да, Andrey Karpov, вы возвысились над толпой потребительской черни и дали о себе знать.
> и попутно тыча в их слабые местаКомплексы какие-то что ли? Им список ошибок присылаешь для улучшения программного продукта, а они обижаются. Вообще, весь топик очень показателен. Я привык считать, что собратья-линуксоиды адекватно воспринимают софт-отрасль. Ан нет, тут и комплексы поползли, и истеричность, и удивление, что люди, оказывается, в небесплатно арендуемом офисе работают не только за идею, но и за деньги. Тут, конечно, спасибо Андрею и Ко за то, что открыли мне глаза.
> спасибо Андрею и Ко за то, что открыли мне глаза.Как будто раньше не догадывался, что некоторая часть отписавшихся, если и не из-за парты пишет, то один раз рядом с программистом постояла. А важность мнения, как будто не меньше linux-kernel за плечами :)
>> и попутно тыча в их слабые места
> Комплексы какие-то что ли? Им список ошибок присылаешь для улучшения программного продукта,
> а они обижаются.Им посылается мусор, без фильтровки - является ли это ошибкой или является false positive.
Если бы false positive были отфильтрованы - был бы поклон, а так - поиск иголки в стоге мусора.