問題タブ [coverity]

こんにちは、「Wrapper object use after free (WRAPPER_ESCAPE)1. escape: ローカル hello エスケープの内部表現ですが、スコープを出ると破棄されます」という Coverity の問題が発生しています。 修正するのを手伝ってください。

何か問題があるかどうかを判断するのに誰か助けてもらえますか

割り当てられたコベリティ欠陥に所有者を割り当てる必要があります。Coverity プラットフォームでは、scm ユーザーは Coverity ユーザーにマップされます。クライアント側では、cov-import-scm を実行して scm データを収集しますが、コマンドが必要なものを取得していないようです。cov-import-scm コマンドのヘルプはあまり直感的ではなく、使用ガイドもありません。しかし、私が集めたものから、コマンドは次のようになります

./set-p4env.bat

./cov-import-scm --scm perforce --dir="" --command-arg="%P4CLIENT%/..."

コマンドには何が必要ですか? scmユーザー情報を収集するために、これまたは他の方法を実行することに成功した人はいますか?

ありがとう

FLOSS コードをテストするために、(これらすべてのサービスの無料バージョン)とgithubの統合を使用しています。travis-cicoverity-scan

私が直面している問題は、コードに継続的に取り組んでいると、すぐにコベリティクォータに達してしまうことです。

私は複数のプロジェクトに同時に取り組んでいるので、再度コベリティを提出できるようになる前に、特定のプロジェクトに取り組むのをやめてしまう可能性があります。コベリティで簡単にキャッチ。

これは避けたいと思います。

クォータに頻繁に到達するのを防ぐための最初の対策はcoverity_scan、マスター ブランチや機能ブランチほど頻繁にプッシュを受信しない専用ブランチ (通常は ) を使用することです。ただし、これはユーザー (私) に認知的負荷をかけるため、これも回避したいと考えています。

また、時々私はまだクォータに達しています (私のプロジェクトのいくつかは 100k-500k 行のコード範囲にあるため、通常よりも低いしきい値を持っています)。

私が望んでいるのは、現在のビルドがクォータに達した場合 (およびその場合にのみ)、クォータが期限切れになったときに自動的にコベリティ スキャンを再トリガーできるようにすることです。

travis-ciプレーン/coverity機能でこのようなことは可能ですか?

または、コベリティ クォータと travis-ci ビルドを監視する別のフックをセットアップする必要がありますか?

無料のオープン ソース プロジェクトには、Coverity のScan Buildサービスを使用します。汚染されたパラメーターに関する 2 つの Coverity の調査結果に取り組んでいます ( TAINTED_SCALAR)。汚染は誤検知であるため__coverity_tainted_data_sanitize__、問題を解決するために Coverity でコードを計測しようとしています。

Coverity のツール__coverity_tainted_data_sanitize__を使用した解析ビルドでしか関数を使用しないため、使用する必要があるコードをガードしたい。cov-buildつまり、私は次のようなことをしたいです:

Coverity には の使用例が__coverity_tainted_data_sanitize__いくつかありますが、ガード方法は示されていません。たとえば、Tainted Scalar の関数モデルの例および明示的にパラメーターを渡すメカニズムを文書化する を参照してください。また、プリプロセッサに問い合わせても見つかりませんでした（以下を参照）。

解析ビルドを決定するために Coverity が定義するプリプロセッサ マクロは何ですか?

プリプロセッサ出力

環境変数

いくつかの環境変数は見つかりましたが、環境変数をプリプロセッサ定義にマッピングすることは避けたいと考えています。

念のために説明します...ライブラリは、汚染された値のように見えるものを読み取ります。ただし、これは自己テストに使用されるデータファイルであり、/usr/shareにあり、任意のユーザー入力ではありません。ライブラリはこの特定の機能をユーザーに公開していないため、予期しない方法で悪用される可能性はないと思います。

私はCoverityを初めて使用します.exeファイルを使用してコマンドプロンプトから使用しています.したがって、特定のマクロをcoverity cov-build.exeに渡し、cov-emit.exe( cov-build.exe によって呼び出されます) は、.c ファイルを解析しています。今まで、以下の構成を試しました。

だからどんな助けも大歓迎です.私はこれにこだわっています.

よろしく
お願いします。

開発済みのソース コードで fortify SCA を実行したところ、いくつかの問題が見つかりました。これらの問題を修正するにはどうすればよいですか? どのようなアプローチを取るべきですか? 既存の脆弱性の修正を開始している間に、新しい脆弱性が発生する可能性があるためです。これに対する適切なアプローチがなければ、ぐるぐる回るのに多くの時間を費やすことになるかもしれません。私が取るべき実行可能なアプローチを提案してください。

Coverity OpenSource サービスを使用しようとしていますが、分析のためにプロジェクト ファイルを送信する際に問題があります。

プロジェクト.tgz をコベリティに送信するたびに (これが自動化命令を介して行われるか、Web サイトを介して直接行われるかに関係なく)、ビルドが短時間キューに入れられていることがわかります。

最後のビルド ステータス: 実行中。あなたのビルドは現在分析中です

しかし、アーカイブが見つからないため、数秒後にビルドは失敗します。

前回のビルド ステータス: 失敗しました。次の理由により、ビルドに失敗しました。エラーを修正して、ビルドを再度アップロードしてください。エラーの詳細: :tar ファイルの取得に失敗しました ...詳細

ビルドログは問題ないようです：

この問題は、エラーの詳細と一致しているようです: : から tar ファイルをダウンロードできませんでした。残念ながら、解決策はありません。

アーカイブの命名規則やサイズ制限はありますか?

ご協力いただきありがとうございます！