惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Engineering at Meta
Engineering at Meta
人人都是产品经理
人人都是产品经理
大猫的无限游戏
大猫的无限游戏
博客园 - 三生石上(FineUI控件)
量子位
腾讯CDC
The Cloudflare Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
云风的 BLOG
云风的 BLOG
Vercel News
Vercel News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
L
LangChain Blog
aimingoo的专栏
aimingoo的专栏
The Hacker News
The Hacker News
T
The Exploit Database - CXSecurity.com
B
Blog
S
SegmentFault 最新的问题
P
Privacy & Cybersecurity Law Blog
T
Threatpost
博客园 - 聂微东
T
Tailwind CSS Blog
The Last Watchdog
The Last Watchdog
C
Check Point Blog
N
Netflix TechBlog - Medium
D
DataBreaches.Net
爱范儿
爱范儿
IT之家
IT之家
S
Secure Thoughts
M
MIT News - Artificial intelligence
NISL@THU
NISL@THU
C
Cisco Blogs
TaoSecurity Blog
TaoSecurity Blog
有赞技术团队
有赞技术团队
A
Arctic Wolf
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
P
Proofpoint News Feed
Spread Privacy
Spread Privacy
Schneier on Security
Schneier on Security
Simon Willison's Weblog
Simon Willison's Weblog
G
GRAHAM CLULEY
雷峰网
雷峰网
Project Zero
Project Zero
博客园 - Franky
H
Heimdal Security Blog
A
About on SuperTechFans
Security Latest
Security Latest
Webroot Blog
Webroot Blog
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Hugging Face - Blog
Hugging Face - Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
PVS-Studio в CMake: теперь официально
x86chk (PVS- · 2026-05-20 · via Все публикации подряд на Хабре

Уровень сложностиПростой

Время на прочтение5 мин

Охват и читатели85

Если у вас кроссплатформенный проект на C или C++, то, как правило, вы не завязываетесь на одну систему сборки, а используете генератор сценариев для сборочных систем. Самый распространённый из них, CMake, недавно получил официальную интеграцию со статическим анализатором PVS-Studio для этих языков.

CMake — визитная карточка Kitware для разработчиков программного обеспечения. Это проект с большой историей и возрастом почти с саму компанию. Его первая версия вышла в 2000 году, спустя примерно два года со дня основания Kitware.

Со временем все разработки Kitware (например, библиотека Visualization Toolkit и созданный на её основе движок ParaView для работы с симуляциями протекающих процессов) стали использовать CMake для описания структуры проекта и его сборки. Вслед за ними подключились другие крупные проекты СПО: KDE, LLVM, Qt в разное время полностью отказались от GNU Autoconf в его пользу. Анализатор PVS-Studio для C и C++ полностью перешёл на CMake в начале 2020 года.

PVS-Studio может анализировать проекты независимо от системы сборки: на Windows анализатор перехватывает вызовы компилятора и его команды запуска. Для GNU/Linux систем доступна трассировка компиляции.

Как это работает

Начиная с версии 4.3, в CMake стал возможен запуск PVS-Studio одновременно со сборкой C или C++ проекта. Срабатывания анализатора будут отображаться вместе с сообщениями и предупреждениями компилятора.

Рисунок 1. Начало журнала сборки компонента libcrypto из LibreSSL 4.3.1 с одновременным анализом средствами PVS-Studio

Процесс настройки статического анализатора PVS-Studio практически не отличается от других поддерживаемых в CMake решений: достаточно объявить директиву CMAKE_<LANG>_PVS_STUDIO и после неё перечислить параметры, как если бы вы просто запустили CompilerCommandsAnalyzer в Windows или pvs-studio-analyzer в *nix-системах. <LANG> может принимать значения C и CXX.

set(CMAKE_C_PVS_STUDIO CompilerCommandsAnalyzer analyze -a GA)
set(CMAKE_CXX_PVS_STUDIO CompilerCommandsAnalyzer analyze -a GA)

Эту директиву можно разместить на любом подходящем для вас уровне в CMakeLists.txt, регулируя таким образом количество кода, которое проверяет анализатор.

Если вы не хотите запускать анализ при каждой сборке, то оберните настройку в условие:

if(ENABLE_PVS_STUDIO_CHECKS)
  set(CMAKE_C_PVS_STUDIO CompilerCommandsAnalyzer analyze -a GA)
endif()

Кроссплатформенные проекты могут также задействовать автоматический выбор названия исполняемого файла анализатора PVS-Studio для C и C++ проектов:

find_program(PVS_STUDIO_COMMAND NAMES
             pvs-studio-analyzer CompilerCommandsAnalyzer)
set(CMAKE_CXX_PVS_STUDIO ${PVS_STUDIO_COMMAND} analyze -a "GA\;OP")

Можно также задать параметр командной строки -DCMAKE_<LANG>_PVS_STUDIO, чтобы не изменять CMakeLists.txt. Обратите внимание, что в этом случае разделение параметров анализатора PVS-Studio осуществляется через символ ;, поэтому для указания нескольких групп диагностических правил в параметре -a потребуется экранирование:

cmake -B build -DCMAKE_C_PVS_STUDIO="CompilerCommandsAnalyzer;analyze;-a;GA\;OP"

Мы проверяли исходный код CMake 4.1 в августе 2025 года. Анализатор PVS-Studio для C и C++ нашёл в нём много интересного.

Анализ через встроенную интеграцию накладывает ограничение на взаимодействие с результатами анализа: отчёт PVS-Studio не сохраняется, так как файлы исходного кода анализируются индивидуально. Из-за этого недоступна конвертация отчёта через plog-converter, но вы можете агрегировать срабатывания анализатора в CDash — системе контроля результатов прохождения тестов, также разработанной Kitware. Разработчики из команды CMake так и сделали — здесь можно посмотреть на результат работы такой интеграции.

Применяем на практике

Рассмотрим процесс анализа на примере криптографической библиотеки LibreSSL — хардфорка OpenSSL, направленного на улучшение качества кодовой базы, её безопасности и поддержки. Примеры команд запуска будут написаны под Windows.

Открываем корневой файл CMakeLists.txt, добавляем строку:

set(CMAKE_C_PVS_STUDIO CompilerCommandsAnalyzer analyze -a "GA\;OP")

Далее генерируем файлы для системы сборки Ninja:

cmake -B build -G Ninja

После этого запускаем любую цель для сборки, например, libtls — новый вариант библиотеки libssl для TLS-соединений:

cd build
ninja tls

Запускается сборка, запускается и анализ.

Рисунок 2. Начало журнала сборки компонента libtls из LibreSSL 4.3.1 с одновременным анализом средствами PVS-Studio

Срабатывания анализатора PVS-Studio отображаются в удобном для чтения “в потоке” формате: путь до файла с позицией в коде, номер диагностического правила и его описание. Давайте рассмотрим пару срабатываний из криптографического ядра libcrypto, используемого в libtls:

Надувательство

void
BF_ecb_encrypt(const unsigned char *in, unsigned char *out,
    const BF_KEY *key, int encrypt)
{
    BF_LONG l, d[2];

    n2l(in, l);
    d[0] = l;
    n2l(in, l);
    d[1] = l;
    if (encrypt)
        BF_encrypt(d, key);
    else
        BF_decrypt(d, key);
    l = d[0];
    l2n(l, out);
    l = d[1];
    l2n(l, out);
    l = d[0] = d[1] = 0;              // <=
}

Предупреждение PVS-Studio: V1001 The ‘l’ variable is assigned but is not used by the end of the function. blowfish.c 587

Перед нами простой и незамысловатый алгоритм Blowfish. Конкретно здесь быстрая очистка буфера данных на шифровку или дешифровку в зависимости от значения encrypt. Но затирание не произойдёт, если приложение было скомпилировано с оптимизацией и 12 байт, из которых 8 являются блоком данных, останутся висеть в памяти.

Вы повторяетесь. Вы повторяетесь.

Для чтения информации из сертификатов X.509 и родственных ему нужен парсер Abstract Syntax Notation Once (ASN.1).

Предупреждение PVS-Studio: V501 There are identical sub-expressions '(c == ’ ‘)’ to the left and to the right of the ‘||’ operator. a_print.c 77:

int
ASN1_PRINTABLE_type(const unsigned char *s, int len)
{
  int c;
  ....
  while (len-- > 0 && *s != '\0') {
    c= *(s++);
    if (!(((c >= 'a') && (c <= 'z')) ||
        ((c >= 'A') && (c <= 'Z')) ||
        (c == ' ') ||                   // <=
        ((c >= '0') && (c <= '9')) ||
        (c == ' ') || (c == '\'') ||    // <=
        (c == '(') || (c == ')') ||
        (c == '+') || (c == ',') ||
        (c == '-') || (c == '.') ||
        (c == '/') || (c == ':') ||
        (c == '=') || (c == '?')))
      ia5 = 1;
    if (c & 0x80)
      t61 = 1;
  }
  ....
}

Немного “растянем”, расположив условия в if в один столбец:

if (!(
       ((c >= 'a') && (c <= 'z'))
    || ((c >= 'A') && (c <= 'Z'))
    || (c == ' ')                   // <=
    || ((c >= '0') && (c <= '9'))
    || (c == ' ')                   // <=
    || (c == '\'')
    ....
))

Вот и запрятавшийся в водорослях повтор проверки на пробел. Полагаем, что это чистая случайность :)

Убрать его можно в любой понравившейся вам части условия без потери функциональности:

if (!(((c >= 'a') && (c <= 'z')) ||
    ((c >= 'A') && (c <= 'Z')) ||
    ((c >= '0') && (c <= '9')) ||
    (c == ' ') || (c == '\'') ||
    (c == '(') || (c == ')') ||
    (c == '+') || (c == ',') ||
    (c == '-') || (c == '.') ||
    (c == '/') || (c == ':') ||
    (c == '=') || (c == '?')))

Бывают и более сложные случаи повторяющихся проверок в условии. Чтобы их не допускать, можно применить “табличное” форматирование кода.

Останутся ли старые способы анализа?

Привычные способы анализа CMake-проектов через compile_commands.json и CMake-модуль никуда не пропали, ими по-прежнему можно пользоваться. Все возможные методы описаны в нашей документации. Поддерживать код чистым от багов стало ещё проще, и мы надеемся, что интегрировать статический анализ в процесс разработки будет так же легко! Если вы хотите попробовать новую интеграцию прямо сейчас, можно бесплатно запросить триальную лицензию.

Если хотите поделиться этой статьей с англоязычной аудиторией, то прошу использовать ссылку на перевод: Taras Shevchenko. PVS-Studio in CMake: It’s official now!.