请访问原文链接:PVS‑Studio 7.38 for macOS, Linux & Windows - 代码质量安全静态分析 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
C、C++、C# 和 Java 代码静态分析器
PVS‑Studio 是一款静态分析器,可保护代码质量、安全性 (SAST) 和代码安全
何时需要使用 PVS‑Studio 分析仪
对于开发者
- 开发过程中偶尔会出现错误
- 搜索错误时的调试工作很耗时
- 错误会进入版本控制系统
- 一旦错误被QA专家发现,调试那段代码将变得困难
对于管理者
- 由于存在bug,需要频繁地回到旧任务中
- 用户报告产品中存在错误
- 即使招聘了更多的开发者 (sysin),也发现代码质量在下降
- 随着代码量的增加,很难评估其质量和可靠性
对于安全专业人士
- 外部代码审计困难
- 潜在客户要求使用这类工具
- 客户要求在开发中遵守安全和可靠性标准
您可以将 PVS‑Studio 集成到
IDE
- Visual Studio
- IntelliJ IDEA
- Rider
- CLion
- Visual Studio Code
- Qt Creator
- Eclipse
Distributed build
- Incredibuild
Game engines
- Unreal Engine
- Unity
Code quality
- SonarQube
- DefectDojo
Build systems
- MSBuild
- CMake
- Make
- Ninja
- Gradle
- Maven
- JSON Compilation Database
Embedded
- Keil µVision, DS-MDK
- IAR Embedded Workbench
- Platform.io
- QNX Momentics
- TI ARM Code Generation
Virtualization
- Docker
- WSL
CI
- Jenkins
- TeamCity
Cloud CI
- CircleCI
- Travis CI
- GitLab
- Azure DevOps
- GitHub Actions
支持的语言和编译器
Supported languages and compilers
Windows:
Visual Studio, C, C++, C++/CLI, C++/CX (WinRT)
MinGW C, C++
Texas Instruments Code Composer Studio, C6000-CGT, C, C++
Windows/Linux/macOS:
GNU Arm Embedded Toolchain, Arm Embedded GCC compiler, C, C++
CLion, Qt Creator, Eclipse, GCC, Clang, C, C++
IntelliJ IDEA (sysin), Android Studio, Java
Visual Studio, JetBrains Rider, C#, .NET Framework, .NET
Windows/Linux:
IAR Embedded Workbench, C/C++ Compiler for ARM C, C++
QNX Momentics, QCC C, C++
Keil µVision, DS-MDK, ARM Compiler 5/6 C, C++
Texas Instruments Code Composer Studio, ARM Code Generation Tools C, C++
MPLAB XC8 C
PVS‑Studio 是如何做到这一切的?
C 和C++ 源文件的预处理 (基于编译参数)允许扩展预处理器指令,即包含头文件并替换宏。分析器使用此功能来构建所分析代码的最完整的语义模型。
基于抽象语法树的基于模式的分析 在源代码中搜索与已知错误代码模式相似的片段。
方法注释 提供了有关所使用方法的更多信息 (sysin),而不是仅通过分析方法签名即可获得的信息。
数据流分析 用于评估在处理各种语言结构时对变量值施加的限制。例如,数据流分析有助于评估变量在 if/else 块内可以采用的值。
类型 基于程序语义模型的 推断为分析器提供了有关代码中所有变量和语句的完整信息。
符号执行评估 可能导致错误的变量值,并对值的范围进行检查。
污染数据分析 检测应用程序使用未经验证的用户数据的情况。过度信任此类数据可能会导致漏洞(例如 SQLI、XSS、路径遍历)。
模块间分析 使诊断能够解释其他翻译单元中声明的函数。
软件组合分析 (SCA) 查找应用程序对包含漏洞的组件的依赖关系。
系统要求
Windows:
Supported versions are Windows 11, Windows 10, Windows 8, Windows Server 2019, Windows Server 2016 and Windows Server 2012. PVS-Studio works only under 64-bit versions of Windows.
PVS-Studio requires .NET Framework version 4.7.2 or above (it will be installed during PVS-Studio installation, if it not present).
The PVS-Studio plugin can be integrated with Microsoft Visual Studio 2022, 2019, 2017, 2015, 2013, 2012, 2010 development environments. For analysis of C and C++ code for embedded systems, the appropriate compiler toolchain should be present in the system.
Linux:
PVS-Studio works under 64-bit Linux distributions with the Linux kernel versions 3.2.0 and above. For analysis of C and C++ code for Linux (sysin), cross-platform applications and embedded systems, the appropriate compiler toolchains should be installed in the system.
List of supported distributions:
- Arch Linux
- CentOS
- Debian GNU/Linux
- Fedora
- Linux Mint
- openSUSE
- Ubuntu
- And more…
macOS:
PVS-Studio works on Intel chips under macOS 10.13.2 High Sierra and above. For analysis of C and C++ code, the appropriate compiler toolchains should be present in the system.
Java:
PVS-Studio for Java works under 64-bit Windows, Linux and macOS systems. Minimum required Java version to run the analyzer with is Java 11 (64-bit). A project being analyzed could use any Java version.
新增功能
2025 年 8 月 15 日
PVS-Studio 7.38:全新 C++ 分析器核心、Java 用户注解、增强的污点分析等
PVS-Studio 7.38 已发布。本版本带来了 C 和 C++ 分析器的全新核心、Java 分析器的用户注解机制、增强的污点分析等功能!详情见下文。
✅ 全新 C 和 C++ 分析器核心
C 和 C++ 分析器拥有了全新的核心,重新设计了解析器、语义分析器和类型系统等组件。
新的核心能更精准地处理模板结构,并更好地解析标准库和基于现代 C++ 标准的代码。
在扩展测试期(EAP)中,新核心已在大量真实项目中展现了稳定的性能。
为保持向后兼容性,我们保留了临时切换回旧核心的功能,可以通过以下方式实现:
- 使用
pvs-studio-analyzer
工具并加上--use-old-parser
参数; - 在
.pvsconfig
规则配置文件中添加//V_USE_OLD_PARSER
标志; - 在
Settings.xml
配置文件中添加<UseOldCppParser>
标签; - 在分析器的
Specific Analyzer Settings
选项卡中使用 Use Old Cpp Parser 设置。
如在分析过程中遇到问题,建议联系技术支持。你的反馈有助于加速新核心的完善。
✅ Java 分析器中的用户注解
PVS-Studio Java 分析器新增了 用户注解 功能,这是一种通过 JSON 格式标记类型和函数的机制,用于向分析器提供额外信息。此前该功能仅在 C/C++ 分析器中可用。
现在你可以将方法和构造函数注解为 污点数据的来源(source)、汇聚点(sink) 或 验证器(validator)。
该功能让分析器能检测到更多漏洞,每个漏洞都会对应一条独立的诊断规则。
✅ 按 MISRA 标准分类诊断规则
PVS-Studio 的 MISRA C / C++ 警告分类页面 现已支持基于版本的展示。
我们将继续扩展对 MISRA C 2023 标准 的覆盖,并计划在 2025 年底完成。
✅ 增强的污点分析机制
我们改进了 C 和 C++ 分析器中的污点分析:
- 现已支持
%
运算符; ReadFile
函数中的警告不再被忽略;- 分支中的污点状态处理得到了增强。
这些改进能更好地发现与 未验证数据 相关的潜在漏洞。
✅ 不兼容变更
以下更改与早期版本不兼容,可能需要调整使用方式:
- V1062 诊断规则在处理
= delete
时的提示信息已修改,因此先前被抑制的警告可能会重新出现; - 污点分析扩展至更多规则:V557, V609, V610, V1083, V575。之前被抑制的 V5009 警告可能会再次出现;
- C# 分析器 中,JSON 注解里描述方法和构造函数参数的语法发生了变化。详情请查阅文档。
✅ 新增诊断规则
C 和 C++
- V2644. MISRA:泛型选择的控制表达式不得有副作用。
- V2645. MISRA:不得使用附录 K 中规定的语言特性。
- V2646. MISRA:来自
<tgmath.h>
的多参数类型通用宏的所有参数应为同一类型。 - V2647. MISRA:不应直接访问原子对象的结构体和联合体成员。
- V2648. MISRA:空指针常量必须由实现提供的
NULL
宏展开而得。 - V2649. MISRA:来自
<tgmath.h>
的类型通用宏的所有参数应具有合适的基本类型。 - V2650. MISRA:泛型选择的控制表达式必须具有与其标准类型匹配的基本类型。
- V2651. MISRA:使用链式指定符的初始化器不应包含没有指定符的初始化器。
C#
- V3224:建议使用带有
IEqualityComparer
的重载方法,在类似的集合元素类型场景下更一致。 - V3225:数据读取方法返回读取到的字节数,不能返回
-1
。
Java
- V5333. OWASP:可能存在 不安全的反序列化漏洞 —— 在反序列化过程中使用了潜在污染的数据来创建对象。
- V5334. OWASP:可能存在 服务端请求伪造(SSRF) —— 潜在污染的数据被用于 URL。
- V6132:可能遗漏或注释掉了
else
块,从而改变了程序逻辑。
下载地址
小版本更新仅保留最新版。
PVS‑Studio 7.38 for macOS (2025-08-15)
PVS‑Studio 7.38 for Linux (2025-08-15)
PVS‑Studio 7.38 for Windows (2025-08-15)
更多相关产品:
- Magic Quadrant for Application Security Testing 2022
- Magic Quadrant for Application Security Testing 2023
更多:HTTP 协议与安全
文章用于推荐和分享优秀的软件产品及其相关技术,所有软件默认提供官方原版(免费版或试用版),免费分享。对于部分产品笔者加入了自己的理解和分析,方便学习和研究使用。任何内容若侵犯了您的版权,请联系作者删除。如果您喜欢这篇文章或者觉得它对您有所帮助,或者发现有不当之处,欢迎您发表评论,也欢迎您分享这个网站,或者赞赏一下作者,谢谢!
赞赏一下