PVS‑Studio 7.38 for macOS, Linux & Windows - 代码质量安全静态分析

请访问原文链接：PVS‑Studio 7.38 for macOS, Linux & Windows - 代码质量安全静态分析 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

C、C++、C# 和 Java 代码静态分析器

PVS‑Studio 是一款静态分析器，可保护代码质量、安全性 (SAST) 和代码安全

何时需要使用 PVS‑Studio 分析仪

对于开发者

• 开发过程中偶尔会出现错误
• 搜索错误时的调试工作很耗时
• 错误会进入版本控制系统
• 一旦错误被QA专家发现，调试那段代码将变得困难

对于管理者

• 由于存在bug，需要频繁地回到旧任务中
• 用户报告产品中存在错误
• 即使招聘了更多的开发者 (sysin)，也发现代码质量在下降
• 随着代码量的增加，很难评估其质量和可靠性

对于安全专业人士

• 外部代码审计困难
• 潜在客户要求使用这类工具
• 客户要求在开发中遵守安全和可靠性标准

您可以将 PVS‑Studio 集成到

IDE

• Visual Studio
• IntelliJ IDEA
• Rider
• CLion
• Visual Studio Code
• Qt Creator
• Eclipse

Distributed build

• Incredibuild

Game engines

• Unreal Engine
• Unity

Code quality

• SonarQube
• DefectDojo

Build systems

• MSBuild
• CMake
• Make
• Ninja
• Gradle
• Maven
• JSON Compilation Database

Embedded

• Keil µVision, DS-MDK
• IAR Embedded Workbench
• Platform.io
• QNX Momentics
• TI ARM Code Generation

Virtualization

• Docker
• WSL

CI

• Jenkins
• TeamCity

Cloud CI

• CircleCI
• Travis CI
• GitLab
• Azure DevOps
• GitHub Actions

支持的语言和编译器

Supported languages and compilers

Windows:

Visual Studio, C, C++, C++/CLI, C++/CX (WinRT)

MinGW C, C++

Texas Instruments Code Composer Studio, C6000-CGT, C, C++

Windows/Linux/macOS:

GNU Arm Embedded Toolchain, Arm Embedded GCC compiler, C, C++

CLion, Qt Creator, Eclipse, GCC, Clang, C, C++

IntelliJ IDEA (sysin), Android Studio, Java

Visual Studio, JetBrains Rider, C#, .NET Framework, .NET

Windows/Linux:

IAR Embedded Workbench, C/C++ Compiler for ARM C, C++

QNX Momentics, QCC C, C++

Keil µVision, DS-MDK, ARM Compiler 5/6 C, C++

Texas Instruments Code Composer Studio, ARM Code Generation Tools C, C++

MPLAB XC8 C

PVS‑Studio 是如何做到这一切的？

C 和C++ 源文件的预处理 （基于编译参数）允许扩展预处理器指令，即包含头文件并替换宏。分析器使用此功能来构建所分析代码的最完整的语义模型。

基于抽象语法树的基于模式的分析 在源代码中搜索与已知错误代码模式相似的片段。

方法注释 提供了有关所使用方法的更多信息 (sysin)，而不是仅通过分析方法签名即可获得的信息。

数据流分析 用于评估在处理各种语言结构时对变量值施加的限制。例如，数据流分析有助于评估变量在 if/else 块内可以采用的值。

类型 基于程序语义模型的 推断为分析器提供了有关代码中所有变量和语句的完整信息。

符号执行评估 可能导致错误的变量值，并对值的范围进行检查。

污染数据分析 检测应用程序使用未经验证的用户数据的情况。过度信任此类数据可能会导致漏洞（例如 SQLI、XSS、路径遍历）。

模块间分析 使诊断能够解释其他翻译单元中声明的函数。

软件组合分析 (SCA) 查找应用程序对包含漏洞的组件的依赖关系。

系统要求

Windows:

Supported versions are Windows 11, Windows 10, Windows 8, Windows Server 2019, Windows Server 2016 and Windows Server 2012. PVS-Studio works only under 64-bit versions of Windows.

PVS-Studio requires .NET Framework version 4.7.2 or above (it will be installed during PVS-Studio installation, if it not present).

The PVS-Studio plugin can be integrated with Microsoft Visual Studio 2022, 2019, 2017, 2015, 2013, 2012, 2010 development environments. For analysis of C and C++ code for embedded systems, the appropriate compiler toolchain should be present in the system.

Linux:

PVS-Studio works under 64-bit Linux distributions with the Linux kernel versions 3.2.0 and above. For analysis of C and C++ code for Linux (sysin), cross-platform applications and embedded systems, the appropriate compiler toolchains should be installed in the system.

List of supported distributions:

• Arch Linux
• CentOS
• Debian GNU/Linux
• Fedora
• Linux Mint
• openSUSE
• Ubuntu
• And more…

macOS:

PVS-Studio works on Intel chips under macOS 10.13.2 High Sierra and above. For analysis of C and C++ code, the appropriate compiler toolchains should be present in the system.

Java:

PVS-Studio for Java works under 64-bit Windows, Linux and macOS systems. Minimum required Java version to run the analyzer with is Java 11 (64-bit). A project being analyzed could use any Java version.

新增功能

2025 年 8 月 15 日

PVS-Studio 7.38：全新 C++ 分析器核心、Java 用户注解、增强的污点分析等

PVS-Studio 7.38 已发布。本版本带来了 C 和 C++ 分析器的全新核心、Java 分析器的用户注解机制、增强的污点分析等功能！详情见下文。

✅ 全新 C 和 C++ 分析器核心

C 和 C++ 分析器拥有了全新的核心，重新设计了解析器、语义分析器和类型系统等组件。
新的核心能更精准地处理模板结构，并更好地解析标准库和基于现代 C++ 标准的代码。
在扩展测试期（EAP）中，新核心已在大量真实项目中展现了稳定的性能。

为保持向后兼容性，我们保留了临时切换回旧核心的功能，可以通过以下方式实现：

• 使用 pvs-studio-analyzer 工具并加上 --use-old-parser 参数；
• 在 .pvsconfig 规则配置文件中添加 //V_USE_OLD_PARSER 标志；
• 在 Settings.xml 配置文件中添加 <UseOldCppParser> 标签；
• 在分析器的 Specific Analyzer Settings 选项卡中使用 Use Old Cpp Parser 设置。

如在分析过程中遇到问题，建议联系技术支持。你的反馈有助于加速新核心的完善。

✅ Java 分析器中的用户注解

PVS-Studio Java 分析器新增了 用户注解 功能，这是一种通过 JSON 格式标记类型和函数的机制，用于向分析器提供额外信息。此前该功能仅在 C/C++ 分析器中可用。

现在你可以将方法和构造函数注解为 污点数据的来源（source）、汇聚点（sink） 或 验证器（validator）。
该功能让分析器能检测到更多漏洞，每个漏洞都会对应一条独立的诊断规则。

✅ 按 MISRA 标准分类诊断规则

PVS-Studio 的 MISRA C / C++ 警告分类页面 现已支持基于版本的展示。

我们将继续扩展对 MISRA C 2023 标准 的覆盖，并计划在 2025 年底完成。

✅ 增强的污点分析机制

我们改进了 C 和 C++ 分析器中的污点分析：

• 现已支持 % 运算符；
• ReadFile 函数中的警告不再被忽略；
• 分支中的污点状态处理得到了增强。

这些改进能更好地发现与 未验证数据 相关的潜在漏洞。

✅ 不兼容变更

以下更改与早期版本不兼容，可能需要调整使用方式：

• V1062 诊断规则在处理 = delete 时的提示信息已修改，因此先前被抑制的警告可能会重新出现；
• 污点分析扩展至更多规则：V557, V609, V610, V1083, V575。之前被抑制的 V5009 警告可能会再次出现；
• C# 分析器 中，JSON 注解里描述方法和构造函数参数的语法发生了变化。详情请查阅文档。

✅ 新增诊断规则

C 和 C++

• V2644. MISRA：泛型选择的控制表达式不得有副作用。
• V2645. MISRA：不得使用附录 K 中规定的语言特性。
• V2646. MISRA：来自 <tgmath.h> 的多参数类型通用宏的所有参数应为同一类型。
• V2647. MISRA：不应直接访问原子对象的结构体和联合体成员。
• V2648. MISRA：空指针常量必须由实现提供的 NULL 宏展开而得。
• V2649. MISRA：来自 <tgmath.h> 的类型通用宏的所有参数应具有合适的基本类型。
• V2650. MISRA：泛型选择的控制表达式必须具有与其标准类型匹配的基本类型。
• V2651. MISRA：使用链式指定符的初始化器不应包含没有指定符的初始化器。

C#

• V3224：建议使用带有 IEqualityComparer 的重载方法，在类似的集合元素类型场景下更一致。
• V3225：数据读取方法返回读取到的字节数，不能返回 -1。

Java

• V5333. OWASP：可能存在 不安全的反序列化漏洞 —— 在反序列化过程中使用了潜在污染的数据来创建对象。
• V5334. OWASP：可能存在 服务端请求伪造（SSRF） —— 潜在污染的数据被用于 URL。
• V6132：可能遗漏或注释掉了 else 块，从而改变了程序逻辑。

下载地址

小版本更新仅保留最新版。

PVS‑Studio 7.38 for macOS (2025-08-15)

• 百度网盘链接：https://pan.baidu.com/s/1hn-y_jehZtMe8SFlvWwkgg?pwd=unxr

PVS‑Studio 7.38 for Linux (2025-08-15)

• 百度网盘链接：https://pan.baidu.com/s/1439nI9oCe438jOwLGjz3Rg?pwd=q46u

PVS‑Studio 7.38 for Windows (2025-08-15)

• 百度网盘链接：https://pan.baidu.com/s/1sKtKOM5S-4T1hEWubhxQEg?pwd=f2es

更多相关产品：

• Magic Quadrant for Application Security Testing 2022
• Magic Quadrant for Application Security Testing 2023

更多：HTTP 协议与安全

---

---

• ← Previous Post
• Next Post →

---

---