MISRA C++ 2008 规则 5-2-7 违规:具有指针类型的 object 不得直接或间接转换为不相关的指针类型
MISRA C++ 2008 Rule 5-2-7 violation: An object with pointer type shall not be converted to an unrelated pointer type, either directly or indirectly
在下面的例子中:
bool bad_function()
{
char_t * ptr = 0;
// MISRA doesn't complains here, it allows cast of char* to void* pointer
void* p2 = ptr;
// the following 2 MISRA violations are reported in each of the casts bellow (two per code line)
// (1) Event misra_violation: [Required] MISRA C++-2008 Rule 5-2-7 violation: An object with pointer type shall not be converted to an unrelated pointer type, either directly or indirectly
// (1) Event misra_violation: [Required] MISRA C++-2008 Rule 5-2-8 violation: An object with integer type or pointer to void type shall not be converted to an object with pointer type
ptr = (char_t*) (p2);
ptr = static_cast<char_t*> (p2);
ptr = reinterpret_cast<char_t*> (p2);
return true;
}
已报告 MISRA 5-2-8 和 5-2-7 违规行为。
如何消除此违规行为?
我需要有 C++ 静态分析经验的人来帮助我。几天来,我一直被这些愚蠢的规则击中脑袋。
根据 MISRA C++ 标准 (MISRA-Cpp-2008.pdf: Rule 5-2-7 (required): An object with pointer type should not be直接或间接转换为不相关的指针类型。
好的,但是我们有很多代码,例如需要将地址转换为 char*,然后将其与 std::ifstream 一起使用,其中 read(char* buffer, int length) 函数需要类型转换地址(char_t*)。那么根据 MISRA 的说法,有人可以用 C++ 编程而不使用任何类型转换吗?标准没有说明必须如何进行指针转换。
在我的生产代码中,我的问题是在文件读取操作中使用 std:ifstream 从预定义数据结构中的文件读取:
if (file.read((char_t*)&info, (int32_t)sizeof(INFO)).gcount() != (int32_t)sizeof(INFO)
{
LOG("ERROR: Couldn't read the file info header\n");
res = GENERAL_FAILURE;
}
根据 MISRA 应该如何做?
那么有什么解决办法吗?
编辑:彼得和 Q.Q。答案都是正确的,看来MISRA真的是想什么都不要演员,如果项目处于最后阶段,这很难做到。有两个选项:
1 - 一个一个地记录 MISRA 偏差并解释为什么转换是好的,解释这是如何测试的(Q.Q。建议)
2 - file.read() 使用 char 类型的字节数组,然后在安全读取文件内容后将字节数组转换为 headers 内容,这必须为每个成员完成一个,因为如果你将 char* 转换为 int32_t 这又是违反规则 5-2-7 的。有时工作量太大了。
将不相关的指针转换为 char* 不是一个好的做法。
但是,如果您有一个大型遗留代码库经常这样做,您可以通过添加特殊注释来抑制规则。
fread 是一个非常好的文件输入 C++ 函数,它使用 MISRA 允许的 void*。
它也擅长读取二进制数据,不像fstream通过本地化字符转换逻辑处理所有数据(这是iostream上的"facet",它是可配置的,但标准没有'定义任何可移植的方式来实现无操作转换。
fopen/fclose 的 C 风格在 C++ 程序中是不幸的,因为您可能会忘记清理文件。幸运的是,我们有这个 std::unique_ptr 可以将 RAII 功能添加到任意指针类型。在 C++ 中使用 std::unique_ptr<FILE*, decltype(&fclose)> 并具有快速的异常安全二进制文件 I/O。
注意:一个常见的误解是 std::ios::binary 给出二进制文件 I/O。它不是。它只影响换行符转换和(在某些系统上)文件结束标记处理,但对 facet-driven 字符转换没有影响。
MISRA 规则的基本原因是将任何 pointer/address 转换为任何非空指针允许使用该地址,就好像它是与实际不同的对象一样。在这些情况下,编译器会抱怨隐式转换。使用类型转换(或 C++ _cast 运算符)基本上会停止编译抱怨,并且 - 在太多无法计数的情况下 - 取消引用该指针会产生未定义的行为。
换句话说,通过强制类型转换,您正在引入潜在的未定义行为,并关闭编译器提醒您这种可能性的所有可能性。 MISRA 认为这是个坏主意……尽管许多考虑编码简易性的程序员认为在某些情况下这是个好主意。
你必须意识到,MISRA 检查的理念不像典型的程序员那样关心编程的难易程度,而更关心防止未定义(或实现定义或未指定等)行为通过所有检查的情况,并且导致可能造成伤害的代码 "in the wild"。
问题是,在您的实际用例中,您依赖 file.read() 正确填充名为 info 的(大概)数据结构。
if (file.read((char_t*)&info, (int32_t)sizeof(INFO)).gcount() != (int32_t)sizeof(INFO)
{
LOG("ERROR: Couldn't read the file info header\n");
res = GENERAL_FAILURE;
}
您需要做的是更加努力地提供将通过 MISRA 检查程序的有效代码。像
std::streamsize size_to_read = whatever();
std::vector<char> buffer(size_to_read);
if (file.read(&buffer[0], size_to_read) == size_to_read)
{
// use some rules to interpret contents of buffer (i.e. a protocol) and populate info
// generally these rules will check that the data is in a valid form
// but not rely on doing any pointer type conversions
}
else
{
LOG("ERROR: Couldn't read the file info header\n");
res = GENERAL_FAILURE;
}
是的,我意识到这比简单地使用类型转换和允许二进制保存和读取结构要多得多。但他们是休息时间。除了通过 MISRA 检查器之外,如果操作正确,这种方法还有其他优势,例如文件格式完全独立于用于构建代码的编译器。您的代码取决于实现定义的数量(结构中成员的布局,sizeof 的结果)因此您的代码 - 如果使用编译器 A 构建 - 可能无法读取由编译器 B 构建的代码生成的文件.MISRA 要求的一个共同主题是减少或消除任何具有可能对实现定义的数量敏感的行为的代码。
注意:您还将 char_t * 作为第一个参数传递给 std::istream::read(),将 int32_t 作为第二个参数传递。两者实际上都是不正确的。实际参数是 char * 和 std::streamsize 类型(可以是,但不要求必须是 int32_t)。
在下面的例子中:
bool bad_function()
{
char_t * ptr = 0;
// MISRA doesn't complains here, it allows cast of char* to void* pointer
void* p2 = ptr;
// the following 2 MISRA violations are reported in each of the casts bellow (two per code line)
// (1) Event misra_violation: [Required] MISRA C++-2008 Rule 5-2-7 violation: An object with pointer type shall not be converted to an unrelated pointer type, either directly or indirectly
// (1) Event misra_violation: [Required] MISRA C++-2008 Rule 5-2-8 violation: An object with integer type or pointer to void type shall not be converted to an object with pointer type
ptr = (char_t*) (p2);
ptr = static_cast<char_t*> (p2);
ptr = reinterpret_cast<char_t*> (p2);
return true;
}
已报告 MISRA 5-2-8 和 5-2-7 违规行为。
如何消除此违规行为?
我需要有 C++ 静态分析经验的人来帮助我。几天来,我一直被这些愚蠢的规则击中脑袋。
根据 MISRA C++ 标准 (MISRA-Cpp-2008.pdf: Rule 5-2-7 (required): An object with pointer type should not be直接或间接转换为不相关的指针类型。
好的,但是我们有很多代码,例如需要将地址转换为 char*,然后将其与 std::ifstream 一起使用,其中 read(char* buffer, int length) 函数需要类型转换地址(char_t*)。那么根据 MISRA 的说法,有人可以用 C++ 编程而不使用任何类型转换吗?标准没有说明必须如何进行指针转换。
在我的生产代码中,我的问题是在文件读取操作中使用 std:ifstream 从预定义数据结构中的文件读取:
if (file.read((char_t*)&info, (int32_t)sizeof(INFO)).gcount() != (int32_t)sizeof(INFO)
{
LOG("ERROR: Couldn't read the file info header\n");
res = GENERAL_FAILURE;
}
根据 MISRA 应该如何做?
那么有什么解决办法吗?
编辑:彼得和 Q.Q。答案都是正确的,看来MISRA真的是想什么都不要演员,如果项目处于最后阶段,这很难做到。有两个选项:
1 - 一个一个地记录 MISRA 偏差并解释为什么转换是好的,解释这是如何测试的(Q.Q。建议)
2 - file.read() 使用 char 类型的字节数组,然后在安全读取文件内容后将字节数组转换为 headers 内容,这必须为每个成员完成一个,因为如果你将 char* 转换为 int32_t 这又是违反规则 5-2-7 的。有时工作量太大了。
将不相关的指针转换为 char* 不是一个好的做法。
但是,如果您有一个大型遗留代码库经常这样做,您可以通过添加特殊注释来抑制规则。
fread 是一个非常好的文件输入 C++ 函数,它使用 MISRA 允许的 void*。
它也擅长读取二进制数据,不像fstream通过本地化字符转换逻辑处理所有数据(这是iostream上的"facet",它是可配置的,但标准没有'定义任何可移植的方式来实现无操作转换。
fopen/fclose 的 C 风格在 C++ 程序中是不幸的,因为您可能会忘记清理文件。幸运的是,我们有这个 std::unique_ptr 可以将 RAII 功能添加到任意指针类型。在 C++ 中使用 std::unique_ptr<FILE*, decltype(&fclose)> 并具有快速的异常安全二进制文件 I/O。
注意:一个常见的误解是 std::ios::binary 给出二进制文件 I/O。它不是。它只影响换行符转换和(在某些系统上)文件结束标记处理,但对 facet-driven 字符转换没有影响。
MISRA 规则的基本原因是将任何 pointer/address 转换为任何非空指针允许使用该地址,就好像它是与实际不同的对象一样。在这些情况下,编译器会抱怨隐式转换。使用类型转换(或 C++ _cast 运算符)基本上会停止编译抱怨,并且 - 在太多无法计数的情况下 - 取消引用该指针会产生未定义的行为。
换句话说,通过强制类型转换,您正在引入潜在的未定义行为,并关闭编译器提醒您这种可能性的所有可能性。 MISRA 认为这是个坏主意……尽管许多考虑编码简易性的程序员认为在某些情况下这是个好主意。
你必须意识到,MISRA 检查的理念不像典型的程序员那样关心编程的难易程度,而更关心防止未定义(或实现定义或未指定等)行为通过所有检查的情况,并且导致可能造成伤害的代码 "in the wild"。
问题是,在您的实际用例中,您依赖 file.read() 正确填充名为 info 的(大概)数据结构。
if (file.read((char_t*)&info, (int32_t)sizeof(INFO)).gcount() != (int32_t)sizeof(INFO)
{
LOG("ERROR: Couldn't read the file info header\n");
res = GENERAL_FAILURE;
}
您需要做的是更加努力地提供将通过 MISRA 检查程序的有效代码。像
std::streamsize size_to_read = whatever();
std::vector<char> buffer(size_to_read);
if (file.read(&buffer[0], size_to_read) == size_to_read)
{
// use some rules to interpret contents of buffer (i.e. a protocol) and populate info
// generally these rules will check that the data is in a valid form
// but not rely on doing any pointer type conversions
}
else
{
LOG("ERROR: Couldn't read the file info header\n");
res = GENERAL_FAILURE;
}
是的,我意识到这比简单地使用类型转换和允许二进制保存和读取结构要多得多。但他们是休息时间。除了通过 MISRA 检查器之外,如果操作正确,这种方法还有其他优势,例如文件格式完全独立于用于构建代码的编译器。您的代码取决于实现定义的数量(结构中成员的布局,sizeof 的结果)因此您的代码 - 如果使用编译器 A 构建 - 可能无法读取由编译器 B 构建的代码生成的文件.MISRA 要求的一个共同主题是减少或消除任何具有可能对实现定义的数量敏感的行为的代码。
注意:您还将 char_t * 作为第一个参数传递给 std::istream::read(),将 int32_t 作为第二个参数传递。两者实际上都是不正确的。实际参数是 char * 和 std::streamsize 类型(可以是,但不要求必须是 int32_t)。