問題タブ [false-positive]

これは機能である必要があるように感じますが、私の Google-Fu には失敗しました。これが以前に質問/回答されている場合は、前もってお詫び申し上げます。明らかなようですが、何も見つかりませんでした。

割り当てを意図的にリークしているとマークする手段はありますか? コンテキストは、プログラムの初期化中に一度動的に割り当てられ、プログラムの存続期間全体で使用されるデータ構造です。プログラムが終了する直前に、割り当てられたすべてのオブジェクトを解放する本当の理由はありません (家全体に向けて鉄球が飛んでいるのに、なぜ部屋を掃除する必要があるのでしょうか?)。

抑制ファイルを作成できることは承知していますが、それは手動で切断されているように感じます。この割り当てが意図的に決して解放されないような、何らかのマクロまたはその他のソース内の注釈 (たとえば、malloc(...)->に似たものmalloc_IGNORE_LEAK(...)) を使用することをお勧めします。valgrind は何らかの形でこれをサポートしていますか?

そうでない場合、意図的な「リーク」をマーク/追跡するための推奨されるソリューションは何ですか?

今後のプロジェクトで取り組んでいることの 1 つは、コールアウト/ツールチップ システムです。理論的には、それは簡単なことです。次のようなマークアップを使用します。

...そして JavaScript でバインドして、リンクをクリックするたびに表示を切り替えるようにします。

問題は、吹き出しが最初はビューから非表示になっていて、クリックすると表示されるときに、吹き出しをオフに切り替えようとすると失敗することです。の Chrome デバッガーでブレークポイントとウォッチ値を追加すると$callout.is(':hidden')、要素が表示されていても、ウォッチ値は と評価されtrueます。

:hidden セレクターの jQuery のエントリに基づいて、特定の時点で多数のプロパティがチェックされているように見えます。これにより、次の質問:hiddenに至ります。たとえそうでなくなったとしても、隠されるべきですか？

編集: サイド パネルで私の最近の質問に気付いたので、私のチームはアプリが IE9 標準モードで実行されていることを確認したので、今回は環境が問題になることはありません。

編集 2:問題のあるコードのフィドル(更新! 問題は完全に再現されています。)

私はclang 3.3さまざまなプロジェクトで の静的アナライザーを実行してきました。私自身のせいだったいくつかの問題を除いて（予想されていた、そうでなければ私は非常に悲しく、非常に独善的だったでしょう）、std::function誤検知である のムーブコンストラクターに関する次の問題を除いて、すべてが非常にスムーズに進みました。

さらに説明する前に、簡単なテスト ケースを次に示します。

それを実行するとclang++ -std=c++11 --analyze -Xanalyzer -analyzer-output=text foo.cpp(GCC を使用します。libstdc++つまり、 ではなく 4.8.1 バージョンを使用します)、次のトレースが得られますclang。libc++

ご覧のとおり、move コンストラクターstd::function(std::function&&)は の観点から実装されていswapます。操作全体の手順は次のとおりです (信じるならclang):

• f1正しく構築されている
• f2まだ構築されていないため、ガベージが含まれています
• f1に移動されf2ますが、実際にはswap
• f2古い ie が含まれるようになりましたが、古いief1が含まれています。ごみf1f2
• ある時点で、f1含まれているゴミが破壊されます...その後どうなりますか？

理論によれば、これは非常に悪いことです。実際には、実装を見ると、which は重要なもの (つまり) をすべて nullに初期化するように注意してstd::function継承しているように見えるため、 に関する警告は無意味です。_Function_base_M_managerclang_M_invoker

誰かが疑問に思っている場合に備えて、オブジェクトを移動すると、オブジェクトを不確定な状態のままにすることになっています。GCC のfunction実装はまさにそれを行います。_M_managerリソース管理が関係する限り、 のみが重要であり、残り ( を含む_M_invoker) は単なる「便利な」ポインターです。

私は GCC の実装を十分に掘り下げて、の診断の誤検知のfunction状態についてまったく疑いの余地がないようにしました。しかし、コード内で文字通り何百もの場所でこれが発生するため、静的アナライザーの結果を調べるのは控えめに言っても非常に面倒です。clang

clangこの問題を報告しないように指示するにはどうすればよいですか?

繰り返しますが、見逃した場合に備えて、私はclang 3.3GCC と一緒に使用していlibstdc++ 4.8.1ます。

注:clang 3.4ビルドを実行していて、この誤検知がトリガーされない場合は、お知らせください。私が試した限りでは、私のシステム (Debian Jessie) で 3.4 を実行することはまだできませんでしたが、この問題が解決されるのであれば、もっと頑張ろうと思います。

dotnet winform アプリケーションをConfuserで難読化し、 RPX Packerでパックしました。結果として得られるアセンブリは、Kaspersky (削除)、Avast などのウイルス対策によって誤検出されています (Windows ディフェンダーは問題ありません)。理由がわかりませんか？

問題を解決するにはどうすればよいですか

私は exe に圧縮するバッチ アプリケーションを持っていますが、アプリケーションに wget と 7zip が埋め込まれているため、残念ながらすべてのウイルス ソフトウェアがそれをウイルスとして検出します。誰もこれを解決する方法を知っていますか?

アプリケーション サーバーに ModSecurity をインストールしましたが、ModSecurity が PHPSESSID Cookie で SQL インジェクションを検出するため、リクエストがブロックされることがあります。

GET /somepage.php HTTP/1.1
ホスト: www.domain.com
ユーザーエージェント: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:26.0) Gecko/20100101 Firefox/26.0
Accept: text/html,application/xhtml +xml,application/xml;q=0.9, / ;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=peu4e3ftt 241or q5nbnuc6ocs4
接続: キープアライブ

メッセージ: アクセスはコード 403 (フェーズ 2) で拒否されました。[ファイル "C:/Program Files/Apache Software Foundation/Apache2.2/conf/extra/modsecurity_crs/base_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [行 "539"] [id "981248"] [msg "チェーンされた SQL インジェクション試行を検出します1/2"] [データ「241or」] [重大度「CRITICAL」] [タグ「WEB_ATTACK/SQLI」] [タグ「WEB_ATTACK/ID」]

この偽陽性を避けるために推奨されることは何ですか?

しかし、それは嘘です

インストーラーでこの問題に直面しています: インストーラー exe を Chrome の Web サイトからダウンロードすると、悪意のあるソフトウェアとしてフラグが付けられます。

この問題を克服するために、これまでドメイン名の変更を試みてきましたが、恒久的な解決策ではありません。

Thawte証明書で私のexeに署名した後でも、フラグはまだそこにあります。

一般的なすべての AV で exe をスキャンしましたが、悪意のあるものは何もありません。

このクロムフラグを取り除くにはどうすればよいですか?