PVS-Studio下载-静态代码分析工具 v7.10.43754 免费版

　　PVS-Studio是一款简单易用的静态代码分析器，使用这款软件可以帮助用户快速高效的检测C/C++/C++0x应用程序源代码中的错误，帮助用户快速发现程序语法错误，让用户可以不必以肉眼进行搜索查询，彻底解决用户编辑代码检查困难和检查进度缓慢的问题，让用户拥有更多的时间进行程序代码编写，提高用户的代码编写效率；PVS-Studio包含3套规则，用于代码分析并获得参考信息，内置有简单便捷操作功能、支持生成PDF文件、提供详细的在线帮助教程等多种特色功能，是一款非常不错的静态代码分析软件，非常适用于程序开发工作人员。

软件功能

　　与Visual Studio 2010-2019的简单无缝集成

　　重新编译后自动分析单个文件

　　有关所有诊断规则的在线参考指南，可以在本地，我们的网站上以及单个.pdf文件中找到。超过700页的文档！

　　保存和加载分析结果可以进行隔夜检查-在晚上分析仪进行扫描并在早晨为您提供结果。

　　您可以使用完整的源代码导航将分析结果另存为HTML。

　　可以从命令行执行分析：它有助于将PVS-Studio集成到过夜的构建中；新的日志将在早晨发布。

　　强大的可扩展性：支持多核和多处理器系统，并可以指定要使用的核数；IncrediBuild支持分布式分析。

　　在PVS-Studio窗口中交互式过滤分析结果（日志文件）：通过诊断规则编号，文件名，诊断文本中的关键字等。

　　自动检查更新（在IDE内部以及在运行过夜构建时）。

　　blame-notifier实用程序。该工具使您可以将有关PVS-Studio在夜间运行中发现的错误的电子邮件通知发送给开发人员。

　　分析提交，合并和提取请求-分析器可以配置为仅分析修改后的文件。这样可以快速自动地分析对版本控制系统的每次提交。

　　集成到Linux和macOS下开发的项目中的大量选项。

　　标记为错误警报-能够标记代码片段以抑制该行的特定诊断。

　　质量抑制-抑制分析器为旧代码引发的所有现有消息的能力，以便分析器开始报告0警告。以后您随时可以返回被禁止的消息。此功能使您可以将PVS-Studio无缝集成到开发过程中，并仅关注新代码中发现的错误。

　　可以在Excel中查看有关分析器警告的统计信息-提供一种跟踪错误纠正的速度，在一定时间内发现的错误数量的方法，等等。

　　报告文件中的相对路径以在不同的计算机上查看它们。

　　编译器监视功能允许分析没有Visual Studio文件（.sln / .vcxproj）的项目，而无需手动与构建系统集成。如有必要，可以手动集成到任何构建系统中。

　　pvs-studio-analyzer-Linux下的编译器监视工具。

　　能够按名称，文件夹或掩码从分析中排除文件；对最近N天内修改过的文件进行分析。

　　与SonarQube集成-一个开源平台，旨在持续分析和测量代码质量。

　　使用静态应用程序安全性测试（SAST）方法检测应用程序生命周期中的安全性和安全性缺陷。作为SAST专家， PVS-Studio包含在Forrester研究报告“ Now Tech：静态应用程序安全性测试，2020年第三季度”中。该报告可以通过购买获得，也可以通过Forrester Research订阅获得。

软件特色

　　1、融合Visual Studio2005/2008/2010的开发环境

　　2、提供在线帮助

　　3、可以生成pdf文件

　　4、可以保存和下载分析结果

　　5、具有命令行启动能力

　　6、支持所有的内核和处理器

　　7、评估64位代码移植的复杂度

　　8、支持 Windows（LLP64）和Linux（LP64）的数据模型

　　9、交互式过滤器

　　10、易于融入团队开发项目中

　　11、标记程序文本仅检查新代码

使用方法

　　1、完成软件下载双击软件弹出软件安装弹框，点击next按钮即可进行软件安装

　　2、进入软件安装协议界面，点击勾选我接受协议方可进行软件安装

　　3、点击finish按钮即可关闭弹框并启动软件进入软件操作界面

　　4、进入软件编辑操作界面，可以进行项目创建和项目打开

　　5、点击软件左上角的文件按钮可以对项目进行打开和保存等操作

　　6、点击打开文件弹出文件管理弹框，点击选择文件即可对文件进行添加

　　7、点击点击设置按钮弹出软件设置弹框，该弹框可以对软件杂项进行设置

官方教程

　　警告级别和诊断规则集

　　PVS-Studio将所有警告分为三个确定级别：高，中和低。一些警告涉及特殊的“失败”类别。让我们更详细地考虑以下级别：

　　高（1）-具有最大确定性的警告。这些警告通常表示错误，需要立即纠正。

　　中（2）-具有较低确定性的错误，仍然值得关注。

　　Low（3）-具有最低确定性的警告，指出代码中的次要缺陷。此级别的警告通常有很高的误报率。

　　失败-分析仪的内部警告通知工作期间出现一些问题。这些是在stdout / stderr中显示的分析器错误（例如，消息V001，V003 ans等）和分析器本身在分析过程中使用的任何未处理的实用程序输出的警告（预处理器，命令预处理器cmd）。例如，“失败”消息可以是预处理器的消息，它们涉及源代码的预处理错误，文件访问错误（文件不存在或被防病毒软件阻止）等。

　　应当牢记，某个错误代码不一定会将其绑定到特定的确定性级别，并且各个级别之间的分布高度取决于生成它们的上下文。Microsoft Visual Studio插件和Compiler Monitoring UI的诊断消息的输出窗口具有级别的按钮，允许按需要对警告进行排序。

　　分析仪具有5种诊断规则：

　　常规（GA）-常规分析诊断。这是PVS-Studio中主要的诊断规则集。

　　优化（OP）-微观优化诊断。这些是有关提高代码效率和安全性的技巧。

　　64位（64）-诊断，允许检测与64位应用程序开发相关的特定错误，并将代码从32位平台迁移到64位平台。

　　客户特定（CS）-根据用户要求开发的高度专业化的诊断。默认情况下，这组诊断是禁用的。

　　MISRA-根据MISRA标准（汽车工业软件可靠性协会）开发的一组诊断程序。默认情况下，这组诊断是禁用的。

　　具有确定性级别数字（1、2、3）的诊断组（GA，OP，64，CS，MISRA）的简短描述用于速记符号，例如在命令行参数中。范例：GA：1,2。

　　切换一组特定的诊断规则集将显示或隐藏相应的消息。

　　您可以在文档的相应部分中找到诊断规则的详细列表。

　　可以按各种条件对分析器消息进行分组和过滤。要获得有关带有分析器警告列表的工作的更多详细信息，请参阅文章“处理诊断消息列表”。

　　PVS-Studio和Microsoft Visual Studio

　　安装PVS-Studio时，您可以选择分析仪应集成到哪个版本的Microsoft Visual Studio IDE。

　　确定所有必要选项并完成设置后，PVS-Studio将集成到IDE的菜单中。在图中，您可以看到相应的命令已经出现在Visual Studio的菜单以及消息输出窗口中。

　　在设置菜单中，可以根据需要自定义PVS-Studio，以使其使用起来最方便。例如，它提供以下选项：

　　预处理器选择；

　　从分析中排除文件和文件夹；

　　分析期间要显示的诊断消息类型的选择；

　　很多其他设置。

　　第一次使用PVS-Studio时，最有可能不需要这些，但稍后，它们将帮助您使用该工具优化工作。

　　PVS-Studio和IntelliJ IDEA

　　安装分析仪时，可以将PVS-Studio插件集成到IntelliJ IDEA中，从而可以直接从IDE执行分析和处理分析仪报告。

　　安装后，该插件将在菜单“分析”（“分析”>“ PVS-Studio”）中可用。集成了PVS-Studio插件的IntelliJ IDEA的屏幕截图如下。

　　在设置菜单中，可以禁用诊断规则，从分析中排除文件/目录，等等。

　　文档部分“如何运行PVS-Studio Java ”描述了Java分析器的操作功能。它还提供了其他安装选项，包括安装Maven，Gradle的插件。

　　PVS-Studio和JetBrains Rider

　　安装分析仪时，可以将PVS-Studio插件集成到JetBrains Rider中，这可以直接从IDE执行分析和处理分析仪报告。

　　安装后，该插件可在“工具”菜单中找到。当前解决方案/项目分析可以通过以下方式完成：“工具”>“ PVS-Studio”>“检查当前解决方案/项目”。

　　集成了PVS-Studio插件的JetBrains Rider屏幕截图如下。

　　您可以在以下文档部分中了解有关IDE JetBrains Rider的PVS-Studio插件的更多信息：“将PVS-Studio与JetBrains Rider一起使用”。

　　C和C ++编译器监视UI（Standalone.exe）

　　PVS-Studio可以独立于Microsoft Visual Studio IDE使用。编译器监视UI允许在构建项目时分析项目。它还通过单击诊断消息来支持代码导航，并搜索代码片段以及宏和数据类型的定义。要了解有关如何使用Compiler Monitoring UI的更多信息，请参阅文章“使用C和C ++ Compiler Monitoring UI查看分析结果”。

　　PVS-Studio_Cmd.exe

　　PVS-Studio_Cmd.exe是一个工具，可用于从命令行分析Visual Studio解决方案（.sln）以及Visual C ++和Visual C＃项目（.vcxproj，.csproj）。例如，在需要在构建服务器上集成静态分析的情况下，这可能很有用。PVS-Studio_Cmd.exe允许对目标项目进行全面分析，并进行增量分析（分析自上次构建以来已更改的文件）。以位掩码的形式查看实用程序的返回码可以使您获得有关分析结果的详细信息，并在出现问题时识别问题。因此，使用PVS-Studio_Cmd.exe实用程序，您可以足够“巧妙地”配置静态代码分析的场景，并将其嵌入到CI流程中。“部分”中更详细地介绍了PVS-Studio_Cmd.exe模块的使用。从命令行“分析Visual C ++（.vcxproj）和Visual C＃（.csproj）项目。

　　帮助系统和技术支持

　　PVS-Studio在其诊断消息上提供了广泛的帮助系统。可以从PVS-Studio的界面和官方站点访问此消息数据库。消息描述随附有带有错误示例，错误描述和可用的解决方案的代码示例。

　　要打开诊断说明，只需在消息输出窗口中用鼠标左键单击诊断编号即可。这些数字被实现为超链接。

　　通过电子邮件为PVS-Studio提供技术支持。由于我们的技术支持是由工具开发人员自己提供的，因此我们的用户可以迅速获得对各种问题的答复。

　　系统要求和PVS-Studio的安装

　　PVS-Studio集成到Microsoft Visual Studio 2019、2017、2015、2013、2012、2010开发环境中。您可以在文档的相应部分中了解分析仪的系统要求。

　　获取PVS-Studio安装包后，可以开始安装程序。

　　批准许可协议后，将为Microsoft Visual Studio的各种受支持版本提供集成选项。在特定系统上不可用的集成选项将显示为灰色。如果系统上存在不同版本的IDE或多个IDE，则可以将分析仪集成到每个可用版本中。

　　为确保正确安装PVS-Studio工具，您可以打开“关于”窗口（“帮助/关于”菜单项）。PVS-Studio分析仪必须存在于已安装组件的列表中。

　　使用PVS-Studio的基础

　　在Visual Studio IDE中工作时，您可以运行不同类型的分析-在解决方案，项目文件，所选项目等处。例如，运行分析解决方案的方式如下：“ PVS-Studio-> Check- >解决方案”。

　　启动验证后，进度条将显示带有“暂停”（暂停分析）和“停止”（终止分析）按钮。在分析过程中，潜在危险的结构将显示在检测到的错误列表中。

　　术语“潜在危险的构造”是指分析仪将特定代码行视为缺陷。这条线是否是应用程序中的真正缺陷，仅由了解该应用程序的程序员确定。您必须正确理解使用代码分析器的这一原则：在解决解决程序错误的任务时，没有工具可以完全替代程序员。只有依靠自己的知识的程序员才能做到这一点。但是该工具可以而且必须帮助他。这就是为什么代码分析器的主要任务是减少程序员必须浏览的代码片段的数量并决定如何处理它们。

　　处理诊断消息列表

　　在真正的大型项目中，将不会有数十个诊断消息，而是成百上千个诊断消息，要审查所有这些消息将是一项艰巨的任务。为简化起见，PVS-Studio分析仪提供了多种机制。第一种机制是通过错误代码进行过滤。第二个是按诊断消息文本的内容进行过滤。第三是按文件路径过滤。让我们研究一下使用过滤系统的示例。

　　假设您确定代码为V112（使用幻数）的诊断消息在您的应用程序中绝不是真正的错误。在这种情况下，您可以在分析仪的设置中关闭以下诊断警告的显示：

　　之后，所有带有代码V112的诊断警告将从错误列表中消失。请注意，您无需重新启动分析仪。如果再次打开这些消息，它们将出现在列表中，而无需重新启动分析。

　　现在让我们看看另一个选项-基于文本的诊断消息过滤。让我们看一下分析器警告和发出警告的代码的示例：

　　obj.specialFunc(obj);

　　分析器警告：V678对象被用作其自身方法的参数。考虑检查“ specialFunc”函数的第一个实际参数。

　　分析器发现可疑的是，将同一对象作为参数传递给该对象，从该对象调用此方法。与分析器相反，程序员可能知道此方法的用法是可以接受的。因此，您可能需要过滤掉所有此类警告。您可以通过在“关键字消息过滤”设置中添加相关过滤器来实现。

　　之后，所有包含该表达式的文本的诊断消息将从错误列表中消失，而无需重新启动代码分析器。您可以通过简单地从过滤器中删除表达式来重新打开它们。

　　减少诊断消息数量的最后一种机制是通过对项目文件名和文件路径的掩码进行过滤。

　　假设您的项目使用Boost库。分析仪肯定会通知您该库中的潜在问题。但是，如果您确定这些消息与您的项目无关，则可以在“请勿检查文件”页面上使用Boost将路径添加到文件夹：

　　之后，将不显示与此文件夹中文件有关的诊断消息。

　　此外，PVS-Studio具有“标记为错误警报”功能。它使您能够在源代码中标记导致分析仪生成错误警报的那些行。标记代码后，分析仪将不会在此代码上产生诊断警告。此功能使在验证新编写的代码时在软件开发过程中永久使用分析仪更加方便。

　　因此，在以下示例中，我们关闭了代码为V640的诊断消息：

　　for (int i = 0; i < m; ++i)

　　for (int j = 0; j < n; ++j)

　　matrix[i][j] = Square(i) + 2*Square(j);

　　cout << "Matrix initialization." << endl; //-V640

　　....

　　在“抑制错误警报”部分中将更详细地描述此功能。

　　还有其他一些方法可以通过更改代码分析器的设置来影响诊断消息的显示，但它们不在本文讨论范围之内。我们建议您参考有关代码分析器设置的文档。

更新日志

　　PVS-Studio 7.10（2020年11月5日）

　　随着我们努力支持OWASP ASVS和AUTOSAR C ++ 14编码准则标准，PVS-Studio作为SAST（静态应用程序安全测试）解决方案的功能正在不断增强。现有的PVS-Studio规则与这两个标准之间的映射表现在可用。在将来的版本中，PVS-Studio将扩大其对MISRA和AUTOSAR编码标准的覆盖范围，并根据OWASP Top 10清单针对最常见和最严重的漏洞实施新规则。

　　现在可以将用于JetBrains Rider IDE的PVS-Studio插件用于检查虚幻引擎项目（目前可以在早期访问中获得用于虚幻引擎的JetBrains Rider）

　　PVS-Studio SonarQube插件现在支持在“安全类别”选项卡中将分析器警告分类为具有安全缺陷的CWE（常见弱点枚举）标识符。

　　PVS-Studio分析日志转换工具（Windows的PlogConverter.exe和Linux \ macOS的plog-converter）现在支持将分析结果转换为SARIF（静态分析结果交换格式）。SARIF是一种通用且开放的格式，用于呈现专用于查找软件错误，安全性和安全性缺陷及漏洞的工具的结果输出。大量的静态分析器工具都支持这种格式，并有助于在通用基础架构中协作使用不同的代码质量保证工具。

　　V830。性能下降。考虑用'*'或'->'运算符替换对'std :: optional :: value（）'的使用。

　　V831。性能下降。考虑用“ operator []”替换对“ at（）”方法的调用。

　　V1064。整数除法的左边操作数小于右边的整数。结果将始终为零。

　　V1065。表达式可以简化：检查相似的操作数。

　　V1066。仅对于“ BSTR”类型的对象应调用“ SysFreeString”函数。

　　V1067。从异常构造函数中抛出可能导致意外行为。

　　V3156。该方法的参数不应为null。

　　V3157。可疑师。左操作数的绝对值小于右操作数。

　　V3158。可疑师。两个操作数的绝对值相等。

　　V3159。递增/递减运算后不使用操作数的修改值。

　　V3160。类型不正确的参数将传递给'Enum.HasFlag'方法。

　　V3161。将值类型变量与“ ReferenceEquals”进行比较是不正确的，因为被比较的值将被加框。

　　V3162。可疑返回始终为空的集合。

　　V3163。异常处理块不包含任何代码。

　　V3164。异常类应该可以公开访问。

　　V6093。自动取消装箱变量可能会导致NullPointerException。

　　V6094。该表达式从整数类型隐式转换为实型。考虑使用显式类型转换以避免丢失小数部分。

　　V6095。同步块/方法中的Thread.sleep（）可能导致性能降低。

　　V6096。奇怪的精确比较。考虑使用定义的精度进行比较：Math.abs（A-B） Epsilon。

　　V6097。长文字末尾的小写字母“ L”可能会误认为“ 1”。

　　V6098。一个方法不会覆盖基类中的另一个方法。

　　V6099。嵌套循环中索引的初始值等于“ i”。考虑改用“ i + 1”。

　　PVS-Studio 7.09（2020年8月27日）

　　作为SAST专家， PVS-Studio包含在Forrester研究报告“ Now Tech：静态应用程序安全性测试，2020年第三季度”中。采用静态应用程序安全性测试（SAST）方法可提高应用程序安全性，并有助于减少安全性缺陷对应用程序生命周期的影响。Forrester Research是一家领先的新兴技术研究公司，提供定义技术变更对业务影响的数据和分析。该报告可以通过购买获得，也可以通过Forrester Research订阅获得。

　　对于Visual Studio和Rider PVS-Studio扩展，PVS-Studio C＃分析器中改进了过程间分析器消息的导航。当分析器在调用此方法时发出警告时，现在可以导航到方法内部的潜在危险代码片段。

　　现在可以在规则配置文件（.pvsconfig）中重新定义PVS-Studio C＃分析器规则的默认严重性级别。

　　V012。某些警告可能已被禁用。PVS-Studio C ++分析仪的报告现在可以包括在规则配置文件（.pvsconfig）中定义的排除规则。

　　V826。考虑用其他容器替换标准容器。

　　V827。向量的最大大小在编译时是已知的。考虑通过调用reserve（N）进行预分配。

　　V828。性能下降。在return语句中移动对象可防止复制省略。

　　V829。堆分配的变量的生命周期仅限于当前函数的范围。考虑改为在堆栈上分配它。

　　V1059。宏名称将覆盖关键字/保留名称。这可能导致不确定的行为。

　　V1060。将“ BSTR”传递给“ SysAllocString”函数可能会导致错误的对象创建。

　　V1061。扩展“ std”或“ posix”命名空间可能会导致未定义的行为。

　　V1062。类定义自定义的new或delete运算符。还必须定义相反的运算符。

　　V1063。1模取模是没有意义的。结果将始终为零。

　　V3154。“ a％b”表达式的总值为0。

　　V3155。该表达式不正确或可以简化。

　　V6082。不安全的双重检查锁定。

　　V6083。在反序列化期间，应保留字段的序列化顺序。

　　V6084。可疑返回始终为空的集合。

　　V6085。类似比较中的异常。表达式中可能存在错字。

　　V6086。可疑代码格式。'else'关键字可能丢失。

　　V6087。反序列化期间可能会发生InvalidClassException。

　　V6088。该表达式的结果将隐式转换为“类型”。检查程序逻辑是否正确处理它。

　　V6089。该行可能被不正确地注释掉，从而改变了程序的操作逻辑。

　　V6090。在初始化之前使用字段“ A”。

　　V6091。可疑的getter / setter实现。“ A”字段可能应该改为返回/分配。

　　V6092。从try-with-resources语句返回资源。方法退出之前将关闭它。

　　PVS-Studio 7.08（2020年6月18日）

　　现在可以在Linux和macOS系统下使用用于.NET Framework和.NET Core项目的PVS-Studio C＃分析器。

　　现在可以从JetBrains Rider IDE中使用PVS-Studio C＃分析仪。

　　现在，在Compiler Explorer服务的帮助下，无需下载并安装分析仪的发行版，就可以轻松地在C和C ++代码示例上尝试使用PVS-Studio分析仪。请注意-编译器资源管理器服务允许在一个小的隔离代码片段或综合示例中尝试使用分析器。要全面评估分析仪的功能，请下载并安装完整版的PVS-Studio。

　　Windows下PVS-Studio_Cmd.exe命令行工具中的新文件列表分析模式现在支持对C，C ++和C＃文件的分析，并且可以跟踪编译依赖性（源文件与头文件的依赖性）。此模式可用于配置PVS-Studio分析仪的合并和提取请求分析。

　　改进了PVS-Studio C＃分析器对Unity项目的分析-添加了针对Unity库中最常见类型的附加注释。

　　“ plog-converter”日志转换实用程序（Linux，macOS）现在支持TeamCity日志输出格式。

　　Blame Notifier开发人员自动通知工具现在支持Perforce版本控制系统。

　　V824。建议使用“ make_unique / make_shared”函数创建智能指针。

　　V825。表达式等效于将一个唯一的指针移动到另一个。考虑改用'std :: move'。

　　V1056。预定义的标识符“ __func__”始终在重载的“ operator（）”函数体内包含字符串“ operator（）”。

　　V1057。伪随机序列在每个程序运行时都是相同的。考虑将种子分配给编译时未知的值。

　　V1058。两种不同功能地址的荒谬比较。

　　V6078。潜在的Java SE API兼容性问题。

　　V6079。使用后检查变量的值。存在潜在的逻辑错误。检查线：N1，N2。

　　V6080。考虑检查打印错误。有可能应该在下一个条件下检查分配的变量。