>
>
>
В ожидании Linux версии: проверка кода …

Егор Бредихин
Статей: 7

В ожидании Linux версии: проверка кода графического редактора Inkscape

В этой статье речь пойдет о проверке еще одного известного open source проекта - векторного графического редактора Inkscape 0.92. Проект развивается уже более 12 лет и предоставляет множество возможностей по работе с различными форматами векторных иллюстраций. За это время его кодовая база выросла до 600 тысяч строк, и пришло время проверить его с помощью статического анализатора PVS-Studio.

Введение

Inkscape - это кроссплатформенный свободный векторный графический редактор. Он широко используется любителями и профессионалами по всему миру для создания иллюстраций, иконок, логотипов, диаграмм, карт, а также веб-графики. Inkscape стал одним из самых популярных редакторов в своей области. Проект был создан в 2003 году как форк проекта Sodipodi, и до сих пор продолжает развиваться. Подробнее про Inkscape можно прочитать на официальном сайте.

Для проверки использовалась последняя версия Inkscape - 0.92, код которой доступен в репозитории на GitHub, и статический анализатор PVS-Studio 6.07, загрузить который можно по ссылке. Правда, на момент написания статьи для скачивания доступна только PVS-Studio для Windows. Но ситуация скоро изменится. И можно уже заранее записаться в добровольцы для тестирования бета-версии PVS-Studio для Linux. Подробности можно узнать из статьи: "PVS-Studio признаётся в любви к Linux".

Но вернемся к ошибкам. Хочу отметить, что в статье были выбраны и описаны наиболее интересные сообщения анализатора. Для более тщательной проверки авторы проекта смогут получить у нас временный ключ для PVS-Studio и отчёт. Так как публичной PVS-Studio пока нет, для просмотра отчёта они смогут воспользоваться инструментом PVS-Studio Standalone, работающим под Windows. Да, это не удобно. Но прошу всех потерпеть, осталось не так долго до счастливого момента выхода PVS-Studio для Linux.

Результаты проверки

Проверка указателя на null после new

Предупреждение PVS-Studio: V668 There is no sense in testing the 'outputBuf' pointer against null, as the memory was allocated using the 'new' operator. The exception will be generated in the case of memory allocation error. gzipstream.cpp 180

bool GzipInputStream::load()
{
  ....
  outputBuf = new unsigned char [OUT_SIZE];
  if ( !outputBuf ) {  // <=
    delete[] srcBuf;
    srcBuf = NULL;
    return false;
  }
  ....
}

Согласно современному стандарту C++, при невозможности выделить память оператор new генерирует исключение std::bad_alloc(), а не возвращает nullptr. В случае, если системе не удастся выделить память, будет выброшено исключение и выполнение функции прекратится, следовательно, программа никогда не зайдет в блок после условия.

В данном случае это может привести к утечке памяти. Самым очевидным решением проблемы является использование блока try {....} catch(const std::bad_alloc &) {....}, но гораздо лучше вместо явного освобождения памяти использовать умные указатели (smart pointers).

Аналогичные проверки указателей:

  • V668 There is no sense in testing the 'destbuf' pointer against null, as the memory was allocated using the 'new' operator. The exception will be generated in the case of memory allocation error. gzipstream.cpp 397
  • V668 There is no sense in testing the 'srcBuf' pointer against null, as the memory was allocated using the 'new' operator. The exception will be generated in the case of memory allocation error. gzipstream.cpp 175
  • V668 There is no sense in testing the 'oldcurve' pointer against null, as the memory was allocated using the 'new' operator. The exception will be generated in the case of memory allocation error. sp-lpe-item.cpp 719

Сравнение this с нулем

Предупреждение PVS-Studio: V704 '!this' expression in conditional statements should be avoided - this expression is always false on newer compilers, because 'this' pointer can never be NULL. sp-lpe-item.cpp 213

bool SPLPEItem::performPathEffect(....) {
  if (!this) {
    return false;
  }
  ....
}

Согласно современному стандарту С++, указатель this никогда не может быть нулевым. Зачастую использование сравнения this с нулем может приводить к неожиданным ошибкам. Подробнее прочитать об этом можно в описании диагностики V704.

Ещё одна проверка на равенство this значению nullptr:

  • V704 'this' expression in conditional statements should be avoided - this expression is always true on newer compilers, because 'this' pointer can never be NULL. sp-paint-server.cpp 42

Опасное переопределение параметра

Предупреждение PVS-Studio: V581 The conditional expressions of the 'if' operators situated alongside each other are identical. Check lines: 1046, 1051. sp-mesh-array.cpp 1051

void SPMeshNodeArray::create( ...., Geom::OptRect bbox ) // <=
{
  ....
  if( !bbox ) {
    std::cout << "SPMeshNodeArray::create(): bbox empty" 
              << std::endl;
    Geom::OptRect bbox = item->geometricBounds();        // <=
  }
  if( !bbox ) {                                          // <=
    std::cout << "ERROR: No bounding box!" 
              << std::endl;
    return;
  }
  ....
}

По задумке автора, в случае, когда параметр bbox равен nullptr, для него должен создаться новый объект типа Geom::OptRect, и если объект создать не удалось, то происходит выход из метода с сообщением об ошибке.

Однако, код работает совсем не так, как ожидал автор. Когда параметр bbox равен nullptr, внутри первого блока if происходит создание совершенно нового объекта bbox, который сразу же уничтожается при выходе из этого блока. В результате получается, что второе условие выполняется всегда, когда выполняется и первое, поэтому каждый раз, когда параметр bbox равен nullptr, происходит выход из метода с сообщением об ошибке.

Данный код следовало бы написать так:

void SPMeshNodeArray::create( ...., Geom::OptRect bbox )
{
  ....
  if( !bbox ) {
    std::cout << "SPMeshNodeArray::create(): bbox empty" 
              << std::endl;
    bbox = item->geometricBounds();
    if( !bbox ) {
      std::cout << "ERROR: No bounding box!" 
                << std::endl;
      return;
    }
  }
  ....
}

Неправильно закомментированная строка

Предупреждение PVS-Studio: V628 It's possible that the line was commented out improperly, thus altering the program's operation logics. FontFactory.cpp 705

font_instance *font_factory::Face(....)
{
  ....
  if( features[0] != 0 ) // <=
    // std::cout << "          features: " << std::endl;

  for( unsigned k = 0; features[k] != 0; ++k ) {
  // dump_tag( &features[k], "            feature: ");
  ++(res->openTypeTables[ extract_tag(&features[k])]);
  }
  ....
}

Здесь автор забыл закомментировать строку с условием, которая использовалась для отладки. В данном случае повезло и это не привело к негативным последствиям. Получилось, что условие в if просто продублировало условие выполнения цикла for на первой итерации, но это несомненно является ошибкой и может привести к проблемам в будущем.

"Одноразовый цикл"

Предупреждение PVS-Studio: V612 An unconditional 'break' within a loop. text_reassemble.c 417

int TR_kern_gap(....)
{ 
  ....
  while(ptsp && tsp){
    ....
    if(!text32){
      ....
      if(!text32)break;
    }
    ....
    if(!ptxt32){
      ....
      if(!ptxt32)break;
    }
    ....
    break; // <=
  }
  ....
  return(kern);
}

Этот цикл в любом случае завершится после первого прохода, поскольку перед оператором break нет никакого условия. Точно сказать что подразумевал автор сложно. Если ошибки здесь нет, то код всё равно лучше переписать и заменить while на if.

Очень странный метод

Предупреждение PVS-Studio: V571 Recurring check. The 'back == false' condition was already verified in line 388. Path.cpp 389

void
Path::SetBackData (bool nVal)
{
  if (back == false) {
    if (nVal == true && back == false) {
      back = true;
      ResetPoints();
    } else if (nVal == false && back == true) {
      back = false;
      ResetPoints();
    }
  } else {
    if (nVal == true && back == false) {
      back = true;
      ResetPoints();
    } else if (nVal == false && back == true) {
      back = false;
      ResetPoints();
    }
  }
}

Сложно сказать, почему данный метод был написан столь странным образом. Блоки if и else совпадают, производится множество лишних проверок. Если даже логической ошибки здесь нет, то данный метод определенно следует переписать так:

void
Path::SetBackData (bool nVal)
{
  back = nVal;
  ResetPoints();
}

Потерянная запятая

Предупреждение PVS-Studio: V737 It is possible that ',' comma is missing at the end of the string. drawing-text.cpp 272

void DrawingText::decorateStyle(....)
{
  ....
  int dashes[16]={
     8,  7,   6,   5,
     4,  3,   2,   1,
    -8, -7,  -6,  -5  // <=
    -4, -3,  -2,  -1
  };
  ....
}

Была пропущена запятая, что приводит к тому, что массив dashes будет проинициализирован совсем не такими значениями, которые ожидал автор.

Ожидалось:

{ 8,  7,  6,  5,
  4,  3,  2,  1,
 -8, -7, -6, -5,
 -4, -3, -2, -1 }

На самом деле массив будет заполнен так:

{ 8,  7,  6,  5, 
  4,  3,  2,  1,
 -8, -7, -6, -9,
 -3, -2, -1,  0 }

На место 12-го элемента массива будет записано число -5 - 4 == -9. А последний элемент (на который не хватило элементов в списке инициализации массива) будет, согласно стандарту C++, инициализирован нулём.

Неверная длина в strncmp

Предупреждение PVS-Studio: V666 Consider inspecting third argument of the function 'strncmp'. It is possible that the value does not correspond with the length of a string which was passed with the second argument. blend.cpp 85

static Inkscape::Filters::FilterBlendMode
 sp_feBlend_readmode(....) {
  ....
  switch (value[0]) {
    case 'n':
      if (strncmp(value, "normal", 6) == 0)
        return Inkscape::Filters::BLEND_NORMAL;
      break;
    case 'm':
      ....
    case 's':
      if (strncmp(value, "screen", 6) == 0)
          return Inkscape::Filters::BLEND_SCREEN;
      if (strncmp(value, "saturation", 6) == 0) // <=
          return Inkscape::Filters::BLEND_SATURATION;
      break;
    case 'd':
      ....
    case 'o':
      if (strncmp(value, "overlay", 7) == 0)
          return Inkscape::Filters::BLEND_OVERLAY;
      break;
    case 'c':
      ....
    case 'h':
      if (strncmp(value, "hard-light", 7) == 0) // <=
          return Inkscape::Filters::BLEND_HARDLIGHT;
      ....
      break;
    ....
  }
}

В функцию strncmp передается неверная длина строк "saturation" и "hard-light", поэтому будут сравниваться не все символы, а только первые 6 и 7 символов соответственно. Скорее всего, здесь проявило себя т.н. Copy-Paste программирование. Эта ошибка приведет к ложным срабатываниям при добавлении новых элементов в switch-case. Стоило бы исправить код:

if (strncmp(value, "saturation", 10) == 0)
....
if (strncmp(value, "hard-light", 10) == 0)

Потенциальное деление на ноль

Предупреждение PVS-Studio: V609 Divide by zero. Denominator range [0..999]. lpe-fillet-chamfer.cpp 607

Geom::PathVector
LPEFilletChamfer::doEffect_path(....)
{
  ....
  if(....){
    ....
  } else if (type >= 3000 && type < 4000) {
      unsigned int chamferSubs = type-3000;
      ....
      double chamfer_stepsTime = 1.0/chamferSubs;
      ....
  }
  ...
}

В случае, когда переменная type будет равна 3000, значение переменной chamferSubs составит 0. Соответственно, значение chamfer_stepsTime будет равно 1.0/0 == inf, а это явно не то, чего ожидает автор. Чтобы избежать подобной ситуации стоит изменить условие в блоке if:

...
else if (type > 3000 && type < 4000)
...

Или же можно отдельно обрабатывать ситуацию, когда chamferSubs == 0.

Аналогичная ситуация:

  • V609 Divide by zero. Denominator range [0..999]. lpe-fillet-chamfer.cpp 623

Пропущенный else?

Предупреждение PVS-Studio: V646 Consider inspecting the application's logic. It's possible that 'else' keyword is missing. sp-item.cpp 204

void SPItem::resetEvaluated() 
{
  if ( StatusCalculated == _evaluated_status ) {
    ....
  } if ( StatusSet == _evaluated_status ) { // <=
      ....
  }
}

Судя по форматированию кода (оператор if расположен на той же строке, что и закрывающаяся скобка от предыдущего if) и логике работы, здесь было пропущено ключевое слово else:

....
if ( StatusCalculated == _evaluated_status ) {
    ....
  } else if ( StatusSet == _evaluated_status ) {
      ....
  }
}
....

Работа с нулевым указателем

Предупреждение PVS-Studio: V595 The 'priv' pointer was utilized before it was verified against nullptr. Check lines: 154, 160. document.cpp 154

SPDocument::~SPDocument() 
{
  priv->destroySignal.emit();                      // <=
  ....
  if (oldSignalsConnected) {
    priv->selChangeConnection.disconnect();        // <=
    priv->desktopActivatedConnection.disconnect(); // <=
  } else {
    ....
  }
  if (priv) {                                      // <=
    ....
  }
  ....
}

В нижнем блоке if происходит проверка priv на NULL, т.к. автор допускает равенство этого указателя нулю, однако, выше указатель уже используется и без всяких проверок. Чтобы исправить эту ошибку следует проверить значение указателя до того, как его использовать.

Аналогичные предупреждения:

  • V595 The 'parts' pointer was utilized before it was verified against nullptr. Check lines: 624, 641. sp-offset.cpp 624
  • V595 The '_effects_list' pointer was utilized before it was verified against nullptr. Check lines: 103, 113. effect.cpp 103
  • V595 The 'num' pointer was utilized before it was verified against nullptr. Check lines: 1312, 1315. cr-tknzr.c 1312
  • V595 The 'selector' pointer was utilized before it was verified against nullptr. Check lines: 3463, 3481. cr-parser.c 3463
  • V595 The 'a_this' pointer was utilized before it was verified against nullptr. Check lines: 1552, 1562. cr-sel-eng.c 1552
  • V595 The 'FillData' pointer was utilized before it was verified against nullptr. Check lines: 5898, 5901. upmf.c 5898
  • V595 The 'event_context' pointer was utilized before it was verified against nullptr. Check lines: 1014, 1023. tool-base.cpp 1014
  • V595 The 'event_context' pointer was utilized before it was verified against nullptr. Check lines: 959, 970. tool-base.cpp 959
  • V595 The 'this->repr' pointer was utilized before it was verified against nullptr. Check lines: 662, 665. eraser-tool.cpp 662
  • V595 The 'this->repr' pointer was utilized before it was verified against nullptr. Check lines: 662, 665. eraser-tool.cpp 662
  • V595 The 'modified_connection' pointer was utilized before it was verified against nullptr. Check lines: 1114, 1122. gradient-vector.cpp 1114
  • V595 The 'c' pointer was utilized before it was verified against nullptr. Check lines: 762, 770. freehand-base.cpp 762
  • V595 The 'release_connection' pointer was utilized before it was verified against nullptr. Check lines: 505, 511. gradient-toolbar.cpp 505
  • V595 The 'modified_connection' pointer was utilized before it was verified against nullptr. Check lines: 506, 514. gradient-toolbar.cpp 506

Пропущенная точка с запятой

Предупреждение PVS-Studio: V504 It is highly probable that the semicolon ';' is missing after 'return' keyword. svg-fonts-dialog.cpp 167

void GlyphComboBox::update(SPFont* spfont)
{
  if (!spfont) return // <=
//TODO: figure out why do we need to append("")
// before clearing items properly...

//Gtk is refusing to clear the combobox 
//when I comment out this line
  this->append(""); 
  this->remove_all();
}

После return пропущена точка с запятой (";"), что и является причиной проблемы, описанной в комментариях автора. Поскольку, если закомментировать строку:

 this->append("");

то получится конструкция вида:

if (!spfont) return this->remove_all();

Соответственно, combobox будет очищаться только в случае, когда spfont == NULL.

Неиспользуемый параметр

Предупреждение PVS-Studio: V763 Parameter 'new_value' is always rewritten in function body before being used. sp-xmlview-tree.cpp 259

void element_attr_changed(.... const gchar * new_value, ....)
{
  NodeData *data = static_cast<NodeData *>(ptr);
  gchar *label;

  if (data->tree->blocked) return;

  if (0 != strcmp (key, "id") &&
      0 != strcmp (key, "inkscape:label"))
        return;

  new_value = repr->attribute("id"); // <=
  ....
}

В этой функции значение параметра new_value всегда изменяется прежде, чем оно используется. Возможно стоит убрать new_value из списка параметров, т.к. в данный момент наличие этого параметра абсолютно не оправдано.

Аналогичная ситуация:

  • V763 Parameter 'widget' is always rewritten in function body before being used. ruler.cpp 923

Указатель на несуществующий массив

Предупреждение PVS-Studio: V507 Pointer to local array 'n' is stored outside the scope of this array. Such a pointer will become invalid. inkscape.cpp 582

void
Application::crash_handler (int /*signum*/)
{
  ....
  if (doc->isModifiedSinceSave()) {
    const gchar *docname;
  ....
  if (docname) {
    ....
    if (*d=='.' && d>docname && dots==2) {
      char n[64];
      size_t len = MIN (d - docname, 63);
      memcpy (n, docname, len);
      n[len] = '\0';
      docname = n;
    }
  }
  if (!docname || !*docname) docname = "emergency";
  ....
}

Массив n имеет время жизни меньше, чем время жизни указателя docname на него. Это приводит к работе с недействительным указателем docname. Одним из решений проблемы будет определение массива n рядом с указателем docname:

....
if (doc->isModifiedSinceSave()) {
  const gchar *docname;
  char n[64];
....

Аналогичные указатели:

  • V507 Pointer to local array 'in_buffer' is stored outside the scope of this array. Such a pointer will become invalid. inkjar.cpp 371
  • V507 Pointer to local array 'out_buffer' is stored outside the scope of this array. Such a pointer will become invalid. inkjar.cpp 375

Неверное имя объекта в условии

Предупреждение PVS-Studio: V517 The use of 'if (A) {...} else if (A) {...}' pattern was detected. There is a probability of logical error presence. Check lines: 640, 643. font-variants.cpp 640

void
FontVariants::fill_css( SPCSSAttr *css ) 
{
  ....
  if( _caps_normal.get_active() ) {
    css_string = "normal";
    caps_new = SP_CSS_FONT_VARIANT_CAPS_NORMAL;
  } else if( _caps_small.get_active() ) {
    ....
  } else if( _caps_all_small.get_active() ) {
    ....
  } else if( _caps_all_petite.get_active() ) { // <=
    css_string = "petite";                     // <=
    caps_new = SP_CSS_FONT_VARIANT_CAPS_PETITE;
  } else if( _caps_all_petite.get_active() ) { // <=
    css_string = "all-petite";                 // <=
    caps_new = SP_CSS_FONT_VARIANT_CAPS_ALL_PETITE;
  } 
  ....
}

В условии, идущем перед _caps_all_petite.get_active(), имя объекта должно быть _caps_petite, а не _caps_all_petite. Ошибка скорее всего произошла в результате Copy-Paste.

Неаккуратное использование числовых констант

Предупреждение PVS-Studio: V624 The constant 0.707107 is being utilized. The resulting value could be inaccurate. Consider using the M_SQRT1_2 constant from <math.h>. PathOutline.cpp 1198

void
Path::OutlineJoin (....)
{
  ....
  if (fabs(c2) > 0.707107) {
    ....
  }
  ....
}

Такая запись не совсем корректна и может привести к уменьшению точности вычислений. Лучше использовать математические константу M_SQRT1_2 (the inverse of the square root of 2), объявленную в файле <math.h>. Думаю, на практике здесь всё работает хорошо, но захотелось обратить внимание и на такой пример некрасивого кода.

Аналогичные предупреждения:

  • V624 The constant 1.414213562 is being utilized. The resulting value could be inaccurate. Consider using the M_SQRT2 constant from <math.h>. verbs.cpp 1848
  • V624 The constant 3.14159 is being utilized. The resulting value could be inaccurate. Consider using the M_PI constant from <math.h>. odf.cpp 1568
  • V624 The constant 1.414213562 is being utilized. The resulting value could be inaccurate. Consider using the M_SQRT2 constant from <math.h>. inkscape-preferences.cpp 1334

Идентичные выражения

Предупреждение PVS-Studio: V501 There are identical sub-expressions 'Ar.maxExtent() < tol' to the left and to the right of the '&&' operator. path-intersection.cpp 313

void mono_intersect(....)
{
   if(depth > 12 || (Ar.maxExtent() < tol && Ar.maxExtent() < tol)) 
   {
     ....
   }
   ....
}

Проверка условия Ar.maxExtent() < tol выполняется дважды. Скорее всего это получилось в результате внесения каких-то исправлений в код. Следует исправить выражение или просто убрать дублирующую проверку.

Аналогичная проверка:

  • V501 There are identical sub-expressions 'Ar.maxExtent() < 0.1' to the left and to the right of the '&&' operator. path-intersection.cpp 364

Одинаковые действия в блоках if и else

Предупреждение PVS-Studio: V523 The 'then' statement is equivalent to the 'else' statement. ShapeRaster.cpp 1825

void Shape::AvanceEdge(....)
{
  ....
  if ( swrData[no].sens ) { 
    if ( swrData[no].curX < swrData[no].lastX ) {
      line->AddBord(swrData[no].curX,
                    swrData[no].lastX,
                    false);
    } else if ( swrData[no].curX > swrData[no].lastX ) { 
        line->AddBord(swrData[no].lastX,
                      swrData[no].curX,
                      false);
      }
  } else {
    if ( swrData[no].curX < swrData[no].lastX ) {
      line->AddBord(swrData[no].curX,
                    swrData[no].lastX,
                    false);
    } else if ( swrData[no].curX > swrData[no].lastX ) {
        line->AddBord(swrData[no].lastX,
                      swrData[no].curX,
                      false);
    }
  }
}

Код в блоках if и else одинаков, поэтому стоит просмотреть это место и либо исправить логику работы, либо удалить дублирующую ветку.

Аналогичные места:

  • V523 The 'then' statement is equivalent to the 'else' statement. ShapeRaster.cpp 1795
  • V523 The 'then' statement is equivalent to the 'else' statement. PathCutting.cpp 1323
  • V523 The 'then' statement is equivalent to the 'else' statement. ShapeSweep.cpp 2340

Заключение

В ходе проверки было выявлено немало ошибок, допущенных по невнимательности. Статический анализатор PVS-Studio может эффективно выявлять такие ошибки и тем самым экономить время и нервы программиста. Главное выполнять анализ кода регулярно, чтобы сразу выявлять опечатки и прочие недоработки. Разовые проверки, такая как эта, хотя хорошо рекламируют PVS-Studio, но малоэффективны. Рассматривайте сообщения от статического анализатора как расширенные предупреждения от компилятора. А с сообщениями компилятора надо работать постоянно, а не разово перед релизом. Надеюсь эта аналогия близка и понятна душе любого программиста, переживающего за качество кода.

Предлагаю скачать и попробовать PVS-Studio на своем собственном проекте.

P.S.