良许Linux教程网 干货合集 深度:规范的嵌入式项目要在设计时考虑缺陷

深度:规范的嵌入式项目要在设计时考虑缺陷

一个规范的嵌入式项目在设计阶段就要考虑软件缺陷的问题。那么,从哪些方面应该考虑软件缺陷呢?

概述

在开发高质量和高安全性的产品时,软件在整个开发过程中扮演着越来越重要的角色。为了尽量避免软件问题的发生,我们需要从设计阶段开始规避软件缺陷,并对软件进行充分的测试,早期发现潜在的问题,以避免在大规模生产之后造成严重后果和损失。

软件测试是发现软件缺陷的重要方法之一。在嵌入式软件测试中,根据是否执行被测系统,可以将测试类型分为静态测试和动态测试:

  • 静态测试不需要对源程序进行编译和执行,而是通过进行词法语法分析、编程规范分析、数据流分析、控制流分析、度量分析等,来获取程序的结构和特征。使用形式化方法验证和证明程序是否符合安全规则,这种方法能够全面地获取程序的特征。
  • 动态测试是通过获取程序的动态信息来分析软件的缺陷,例如分析程序的内存状态、覆盖率和执行结果,以更好地理解程序的动态行为特征。

许多代码缺陷是在程序运行过程中产生的,具有隐蔽性和不可预见性。例如,数组越界、动态存储分配、内存溢出、非法指针引用、不一致的隐式类型转换等错误都是在编译阶段无法被编译器检测到的。在大规模且复杂的软件中,单靠人工检查往往会因为人为原因而遗漏问题。将常见的、多发的问题转化为缺陷模式库,并将其应用于工具中,工具可以自动检测代码缺陷,将能够高效提升测试效率,避免问题的重复出现,减轻测试人员的工作负担。

缺陷模式规则分类

2.1 规则分类

2.1.1 按照错误类别分类

为了进一步研究软件错误发生的机理,分布情况,针对C语言典型缺陷模式库中的规则,按照规则检查类型对其进行分类。

(1) 数值检查:除零错误、数组越界。

(2) 指针使用检查:空指针解引用。

(3) 数据流检查:变量定义未使用就再次赋值。

(4) 控制流检查:if elseif分支语句末尾缺少else分支。

(5) 初始化检查:使用前未初始化变量。

(6) 类型转换检查:数据类型不一致引入的隐式类型转换。

(7) 操作符使用不当检查:关系表达式、逻辑表达式、条件判断语句中的控制表达式禁止为赋值表达式“=”、使用连续的比较运算,可能导致代码执行逻辑与预期不符。

2.1.2 按照严重程度分类

根据故障出现可能引起的错误严重程度,对软件或者系统造成影响的严重程度,给每条规则定义了优先级高、中、低的属性。

(1) 重要:除零错误;数组越界;空指针解引用。

(2) 中等:使用前未初始化变量;数据类型不一致引入的隐式类型转换;关系表达式、逻辑表达式、条件判断语句中的控制表达式禁止为赋值表达式“=”;使用连续的比较运算,可能导致代码执行逻辑与预期不符。

(3) 轻微:if elseif分支语句末尾缺少else分支;变量定义未使用就再次赋值。

2.2 规则解析

2.2.1 数值检查

错误发生在不断运行过程中,称为运行时错误,一旦程序中出现该类型错误,会导致计算得到的实际结果与预期结果完成不同,甚至引发计算机复位。数值检查作为运行时错误检查的重要检查内容,会出现在某些特定的运行条件下,即便是经过严格测试的程序,仍有可能存在非预期的浅通路,引发软件不安全问题。

(1) 数组越界

通过数组的下标来得到数组内指定索引的元素,称作对数组的访问。如果一个数组定义为n个元素,它占用一块连续的内存空间,对n个元素(下标为0到n-1)的访问都合法,如果对这n个之外的元素(如下标n)进行访问,访问到的是其它变量,是非法的,称为“越界”。数组越界在运行时的表现是不确定的,可能不会造成严重后果,也有可能导致程序崩溃。因此在使用数组时一定要检查访问是否越界,以保证程序的正确性。代码示例见表1。

表1 数组越界代码示例

image-20240120195013917
image-20240120195013917

(2) 除零错误

出现除零操作时会导致计算结果为一个极大值,超过数据类型能够表示的最大范围,就会发生溢出,计算机程序对于溢出的防护处理可能是计算机复位。因此代码中将整数和浮点数作为分母时都应该进行保护,防止除零后数据溢出的异常情况发生。代码示例见表2。

表2 除零错误代码示例

image-20240120195011532
image-20240120195011532

2.2.2 空指针解引用

空指针解引用是一种常见的动态内存错误。指针变量可以指向堆地址、静态变量和空地址单元,当引用指向空地址单元的指针变量时,就会产生空指针引用故障,导致不可预见的错误,系统崩溃或者异常复位。因此,在解引用指针前,应先判断是否为NULL,如果是NULL则不要解引用。代码示例见表3。

表3 空指针解引用代码示例

image-20240120195009362
image-20240120195009362

2.2.3 变量定义未使用就再次赋值

这条规则属于数据流分析规则,主要关注变量值的操作逻辑是否合理正确,如果不符合逻辑,就有可能隐藏代码问题。代码示例见表4。

表4 变量定义未使用就再次赋值代码示例表

image-20240120195006990
image-20240120195006990

2.2.4 if elseif分支语句末尾缺少else分支

这条规则属于控制流分析规则,主要关注程序的结构。需要在代码解析的基础上提取程序的控制流信息,程序的控制流用于决定分配给变量的特定值可能传播到程序的哪些部分。如果存在某条路径中变量值与预期不一致,就有可能隐藏代码问题。代码示例见表5。

表5 if elseif分支语句末尾缺少else分支代码示例表

image-20240120195004517
image-20240120195004517

2.2.5 使用未初始化变量

程序在执行过程中变量位于内存中,内存中供用户使用的存储空间分为三部分:程序区、静态存储区、动态存储区。全局变量全部存储在静态存储区;动态存储区主要存放:函数的形参、自动变量(没有加static的局部变量)、函数调用的现场保护和返回值。在使用动态存储区变量前如果未对其赋初值就直接使用,由于变量值不确定,可能会发生无法预知的错误。代码示例见表6。

表6 使用未初始化变量代码示例表

image-20240120195002150
image-20240120195002150

2.2.6 数据类型不一致引入的隐式类型转换

当赋值变量与被赋值变量类型不相同时,需要进行数据类型转换的相关检查规则。一般情况下,数据的类型的转换通常是由编译系统自动进行的,不需要人工干预,这种类型转换称为隐式类型转换。但如果程序要求一定要将某一类型的数据转换为另外一种类型,则可以利用强制类型转换运算符进行转换,这种强制转换过程称为显式转换。

image-20240120194959835
image-20240120194959835

图1 编译器自动提升规则

C语言编译器数据类型提升规则可以归纳为从长度小的数据类型向长度大的数据类型提升,称为向上转换;反之,称为向下转换。编译器自动转换规则见图1所示。

如果出现向上隐式类型转换,两个数据进行加法运算时,小数对应到大数有效位数超出有效数据位数,会导致小数无法加到大数上,造成计算结果存在精度损失。

如果出现向下隐式类型转换,大范围变量的数据值超出了小范围变量的能够表示的有效范围,编译器会根据数据值在内存中的表示形式经过转换后,将高位数据截断丢弃造成转换结果错误,因此编译器不允许隐式向下转换,如果必须要这么做,需要使用显式的方法,使用显式的方法也会存在问题,比如两个数据相加得到的计算结果可能出现向上舍入或者向下舍入的情况。

例如,将高精度double类型变量转换成float类型变量需要增加强制类型转换。double型向float型转换为向下转换,C语言编译器无法自动执行向下转换的操作,因此需要采用显式类型转换的方式,将double类型变量显式转换为float类型变量。代码示例见表7。

表7 类型转换代码示例表

image-20240120194956888
image-20240120194956888

2.2.7 操作符使用不当

(1) 关系表达式、逻辑表达式、条件判断语句中的控制表达式禁止为赋值表达式“=”。

在上述表达式中如果使用赋值号会导致条件判断结果始终为真,代码执行逻辑与预期要求不符。代码示例见表8。

表8 某些表达式中禁止使用赋值表达式代码示例表

image-20240120194954185
image-20240120194954185

(2) 使用连续的比较运算,可能导致代码执行逻辑与预期不符。

比如连续的比较操作为:1

表9 使用连续比较运算的代码示例表

image-20240120194951340
image-20240120194951340

代码抽样及结果分析

采用代码抽样的方法验证和分析静态分析工具SpecChecker对缺陷模式库中规则的检查情况SpecChecker是一款具有检查编程规范、故障缺陷分析和共享数据变量分析等功能的静态分析工具。使用该工具的故障缺陷分析功能对随机抽样代码进行检查,给出工具分析结果,对工具和规则提出建议,明确代码设计时的注意事项。

3.1 抽样代码情况及指标

抽样20w代码嵌入式C代码,处理器类型有C51、GCC、DSP,选择以下几个指标作为对工具的衡量指标,以工具发现问题为核心指标。

(1) 工具提示:工具提示出违反某规则的总数;

(2) 确认为问题:工具提示违反规则位置,经人工确认确实存在程序问题;

(3) 工具误报:工具提示违反规则位置,经人工确认不存在违反规则或者任何错误;

(4) 工具漏报:代码违反规则要求,工具未给出提示。

3.2 工具分析结果

表10 缺陷模式检查结果

image-20240120194948143
image-20240120194948143

3.3 建议

根据表10结果,从几个方面:漏报规则、误报规则、定位准确规则、提示性信息规则、代码改进规则、未检出规则几个方面给出改进建议。

(1) 漏报规则:工具能够较好的发现整数为0做分母的“除零错误”,准确率较高,但是未能检出分母为浮点数0.0的情况。在需求分析、代码设计阶段应考虑分母是否可能为零,如果可能为零,应进行除零保护。

(2) 误报规则:工具对于“变量赋值后未使用再次赋值”存在一定程度的误报,该条规则给出了较多提示性内容,但并未发现真正的程序问题。建议工具对于局部变量定义时赋初值后未使用再次赋值的情况不进行提示。规则描述中也可更进一步明确什么场景下的代码逻辑是存在缺陷的。

(3) 定位准确规则:工具对于“数组越界”、“使用未初始化变量”、“关系表达式、逻辑表达式、条件判断语句中的控制表达式禁止为赋值表达式“=””、“使用连续的比较运算,可能导致代码执行逻辑与预期不符”,检查结果较为准确。

(4) 提示性信息规则:“if elseif分支语句末尾缺少else分支”未发现出现实质性问题,一般情况下需要结合代码的处理逻辑分析是否存在问题。

(5) 代码改进规则:“将double类型数据转换为float类型”出现问题的大多数情况是存在一定程度的数据精度损失,会造成计算结果存在一定的误差,建议代码不进行这类操作。

(6) 未检出规则:目前未见“空指针解引用”的错误发生,一旦发生后果比较严重可能造成计算机复位,开发和测试人员应引起重视,避免代码中存在指针未判断是否为空就直接使用的情况出现。

以上就是良许教程网为各位朋友分享的Linu系统相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多干货等着你 !

137e00002230ad9f26e78-265x300

本文由 良许Linux教程网 发布,可自由转载、引用,但需署名作者且注明文章出处。如转载至微信公众号,请在文末添加作者公众号二维码。
良许

作者: 良许

良许,世界500强企业Linux开发工程师,公众号【良许Linux】的作者,全网拥有超30W粉丝。个人标签:创业者,CSDN学院讲师,副业达人,流量玩家,摄影爱好者。
上一篇
下一篇

发表评论

联系我们

联系我们

公众号:良许Linux

在线咨询: QQ交谈

邮箱: yychuyu@163.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部