LINUX.ORG.RU

Команда PVS-Studio: Свежий взгляд на код Oracle VM VirtualBox

 , , ,


1

5

Использовать свои любимые дистрибутивы Linux в VirtualBox со временем становится затруднительно. В этом на своём опыте убедился Святослав Размыслов из команды PVS-Studio, который опубликовал статью о проверке Oracle VM VirtualBox. По его мнению, с VirtualBox 5.0.XX, стабильность работы программы заметно ухудшилась.

Но вернемся к сути статьи. Мы уже встречались на сайте с работой Святослава и активно её обсуждали. Думаю, есть повод для новой дискуссии о качестве открытых проектов.

Напомню, что разработчики PVS-Studio славятся тем, что в целях рекламы своего продукта регулярно проверяют различные открытые проекты.

Это не первая статья о проверке исходного кода виртуальной машины. Почти два года назад в коде VirtualBox было найдено более 50 ошибок и их описание было опубликовано двумя статьями (1, 2). К счастью, все те предупреждения анализатора разработчики исправили, но качество исходного кода постоянно ухудшается. О чём говорит снижение стабильности последних версий программы и несколько десятков новых ошибок, найденных с помощью PVS-Studio.

Пара слов для программистов, ещё не знакомых с анализатором. Это инструмент для выявления ошибок в исходном коде программ, написанных на языках С, C++ и C#. PVS-Studio выполняет статический анализ кода и генерирует отчёт, помогающий программисту находить и устранять ошибки.

>>> Подробности



Проверено: tailgunner ()
Последнее исправление: tailgunner (всего исправлений: 3)

Всегда приятно почитать про некомпетентных жопоруков из корпораций. Я, может, даже добрее буду к джунам теперь. Если даже в оркале такое

anonymous
()

Спасибо автору и модератору, что на этот раз новость поместили в соответствующий продукту раздел (Коммерческое ПО)

anonymous
()

Когда PVS будет доступен для OSS-проектов забесплатно, как это делает coverity?

i82 ★★
()

Где ебилды?

У них как висели какие-то слюнявые оправдания насчёт linux-версии, так и висят до сих пор. Зато сколько помпы, пердежа про качественный и переносимый код в каждой статье.

jeuta ★★★★
()
Ответ на: комментарий от anonymous

Где ты зависть увидел? Просто эта новость никакого отношения к тематике этого сайта не имеет. С такой логикой можно про что угодно новости создавать. Если скачать емакс под шиндошс и начать писать в нем свободный/какой_угодно_проект, это будет относиться к опенсорсу больше, чем эта «новость». Давай начнем выкладывать новости про свежие и ароматные зонды из десяточки, и т.д, а что - в том же Visual Studio можно создавать опенсорс проекты, значит шиндошс=опесорс. Логика 10/10 просто.

anonymous
()
Ответ на: комментарий от anonymous

Я писал этим PVS-мымрам на почту с просьбой продать продукт. Послали лесом со словами - мы работаем только с корпорациями, идите разрабы нахер.

Edible
()
Ответ на: комментарий от Deleted

В интро нет ответа на очевидный вопрос - версия для linux?

Для Linux есть консольное ядро, но нет продукта. Мы планируем развивать поддержку Linux в направлении кастом решений для конкретных пользователей (для их ОС, их компилятора, их среды разработки). Как сделать коробочный дистрибутив не понятно, да и, пожалуй, не нужно. Клиентов будет не много, и с ними всё всегда будет сильно индивидуально, как бывает с любыми большими проектами.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от Vudod

Основной посыл в том, что разработчикам открытых продуктов нужны коммерческие средства анализа кода, чтобы достигнуть приемлемого качества.

Основной посыл в том, что разработчикам закрытых продуктов нужны коммерческие средства анализа кода, чтобы достигнуть приемлемого качества. Открытые бесплатные проекты нам интересны только как полигон для испытаний и рекламы PVS-Studio. Однако, не забываем, что пользы мы приносим намного больше сообществу, чем многие проповедники истинного пути открытых программ.

Andrey_Karpov_2009
() автор топика

Интересно, а ваше ПО само-обучаемо? Т.е. оно анализирует собственный код и учитывает похожие ошибки найденные в проектах?

znenyegvkby
()
Ответ на: комментарий от a1batross

Уйди, рекламщик.

Воспринимай меня как уникальный шанс пообщаться с представителем тёмной стороны. Думаю, тут немного таких. Это ведь интересно.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от anonymous

То что несколько сомнительно, то это правда. Однако формально тематика не нарушена так как все новости на лоре от них связанны с проверкой открытых проектов. Ну да, основная цель это пиар продукта. Однако код открытых продуктов они действительно проверяют и посылают отчёт разработчикам. Так что это и честный и полезный для опенсорса пиар.

anonymous
()
Ответ на: комментарий от Andrey_Karpov_2009

Воспользуюсь шансом. У вас на сайте встречаются интересные материалы. Но как-то это плохо структурировано. Есть шансы на развитие сайта?

anonymous
()
Ответ на: комментарий от Vudod

Тогда давайте рассмотрим свободные программы для этой же цели, пусть нам разработчики этого чуда поведают, чем их поделие лучше открытого и как они этого добились.

Мы лучше, чем скажем Cppcheck. Правда нам не верят и обвиняют в предвзятых сравнениях. Так что впредь мы завязали со сравнениями. Сил уходит много, а в ответ только критика.

А в том виде, как сейчас, это реклама. Причём я не против рекламы, но тогда нужно соблюсти два базовых условия: 1) честно написать, что это реклама,

Господи, да когда же мы это скрывали?!

2) заплатить денег ЛОРу.

А что, так можно? Можно над этим подумать. Вот только боюсь тогда ни ЛОР, не мы не отмоемся от ... негатива ... :)))

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от SZT

Просьба ответить тут на мой вопрос В ядре FreeBSD выявлено как минимум 40 ошибок с помощью анализатора кода PVS-Studio (комментарий)

Нам нет ни пользы, ни смысла делать подобный отчёт. Поверьте, есть люди и коллективы, которые используют бесплатные версии. И вообще не люблю, когда кто-то начинает что-то требовать.

Coverity например предоставляет бесплатный сервис для проверки опенсорсных проектов https://scan.coverity.com/ и их вклад в опенсорс очевидно намного больше, чем у вашей PVS-Studio, но что-то я не вижу тут на лоре никакой рекламы от представителей coverity.

Ну, что сказать, молодцы. Только не забывайте, что они занимаются этой «благотворительностью» за счет грантов министерства обороны и ещё кого-то. Т.е. на самом деле они делают это совсем не за бесплатно. Если бы нам кто-то платил за такое направление, мы бы тоже были белые и пушистей.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от anonymous

Вы предлагаете на слово поверить в то, что ваша программа (которая сама не лишена багов) проверяет на баги OpenSource?

Почему на слово? Пруфы.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от Odalist

Опять свой продукт продвигаете?

Да. Хотя на ЛОРе, я скорее, чтобы просто пообщаться.

И да, может вам лучше слиться с Microsoft?

Я то не против. :) Но не думаю, что мы представляем для них интерес. Мы слишком мелкие и далеко.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от GanGSISoft

С/C++ и C#. что между ними общего, кроме названия?

Не понял вопрос. Для нас общее то, что программы на этих языках умеет проверять PVS-Studio.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от Andrey_Karpov_2009

Только не забывайте, что они занимаются этой «благотворительностью» за счет грантов министерства обороны и ещё кого-то. Т.е. на самом деле они делают это совсем не за бесплатно. Если бы нам кто-то платил за такое направление, мы бы тоже были белые и пушистей.

они занимаются этой «благотворительностью» за счет грантов министерства обороны

занимаются ... за счет грантов

Уже давно как нет. Т.е. им дали денег на разработку сайта и чего-нибудь ещё, но сейчас это не так. Вам нужно обновить аргумент :-)

Why is Coverity providing the Scan service?
The project was initially launched under a contract with the Department of Homeland Security
...
DHS had no day-to-day involvement in the Scan project, and the three year contract was completed in 2009.
...
... Coverity is continuing to fund the Scan beyond the requirements of the DHS contract, which expired in 2009.

С 2009 FOSS проверки за их счёт.

xaizek ★★★★★
()
Последнее исправление: xaizek (всего исправлений: 1)
Ответ на: комментарий от I-Love-Microsoft

это правда что нет версии для Linux? В чем же проблема?

Сложнее продавать. Мы идём в первую очередь туда, где проще и понятней. Простая оптимизация.

Andrey_Karpov_2009
() автор топика

разработчики PVS-Studio славятся тем, что в целях рекламы своего продукта

Так себе слава, честно говоря.

buddhist ★★★★★
()
Ответ на: комментарий от i82

Когда PVS будет доступен для OSS-проектов забесплатно, как это делает coverity?

Когда в нас вольют деньги для решения таких задач. Как делает американское МО для Coverity, например.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от Andrey_Karpov_2009

Грамотная кроссплатформенная разработка не требует дополнительных затрат на поддержку дополнительных ОС, соответственно исчезает само понятие оптимизации путем отказа от поддержки еще одной ОС, тем более ПО, которое по сути анализирует текстовые файлы, которые не выполняются на целевой ОС.

I-Love-Microsoft ★★★★★
()

Так вроде как virtualbox после появления kvm и libvirt стал не нужно и пользуются им только неосиляторы и некрофилы.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от Andrey_Karpov_2009

Так откройте двиг, сообщество само сориентируется :-)

i82 ★★
()
Ответ на: комментарий от Vudod

Они выдают бесплатную лицензию разработчикам опенсорса! ЛОЛ! :D

Indexator ★★★
()
Ответ на: комментарий от tailgunner

Ты так говоришь, как-будто они одну и ту же версию одного и того же проекта тестировали... Так что они не могут быть одинаковыми в принципе!

Indexator ★★★
()
Ответ на: комментарий от tailgunner

Да мне плевать, что ты в это вкладываешь, главное, что они каждый раз в разных проектах исправляют кучу стремнобагов!

Indexator ★★★
()
Ответ на: комментарий от Andrey_Karpov_2009

Мы планируем развивать поддержку Linux в направлении кастом решений для конкретных пользователей (для их ОС, их компилятора, их среды разработки). Как сделать коробочный дистрибутив не понятно, да и, пожалуй, не нужно. Клиентов будет не много, и с ними всё всегда будет сильно индивидуально, как бывает с любыми большими проектами.

Лол, шикарный подход. Ну и кто, находясь в своем уме, будет об вас мараться, когда есть Coverity?

Manhunt ★★★★★
()
Ответ на: комментарий от Andrey_Karpov_2009

Я то не против. :) Но не думаю, что мы представляем для них интерес.

Ничего, вон моно купили и вас купят. Лет через десять. Осталось только немного продержаться.

rupert ★★★★★
()
Ответ на: комментарий от torvn77

Через kvm не работает даже 2D OpenGL. Вот недавно стало доступно экспериментальное решение только для владельцев избранной техники. Так что не в счёт. А также, чтобы к файлам хоста можно было получить доступ из гостевой винды просто, как в vbox.

gag ★★★★★
()
Ответ на: комментарий от Andrey_Karpov_2009

Когда PVS будет доступен для OSS-проектов забесплатно, как это делает coverity?

Когда в нас вольют деньги для решения таких задач. Как делает американское МО для Coverity, например.

Предлагаю направить вашу рекламу именно в это русло, чтобы привлечь средства. Или вы уже начали, а не просто сидите и ждёте, пока главное министерство к вам само придёт?

Например, можете взяться попроверять те проекты с github'а, у которых есть автопроверка coverity (такой статус-значок они там лепят). Вот было бы интересно, а есть ли смысл в новом сервисе от PVS для open source или больше coverity и не нужно.

gag ★★★★★
()

А можно посчитать количество ветвлений в коде на функцию (80 символов в строке как раз должно ограничивать это число и заставлять разработчика разбивать функции на подфункции) для разных проектов и сравнить с количеством ошибок на 1000 строк?

А есть вообще какие-то интересные метрики для проектов?

мне гипотетически интересно.

p.s. непонятно, почему все так не любят анализатор. Чтобы не было ошибок, можно использовать формальные доказательства корректности, частично.

dimon555 ★★★★★
()
Ответ на: комментарий от Andrey_Karpov_2009

Нам нет ни пользы, ни смысла делать подобный отчёт. Поверьте, есть люди и коллективы, которые используют бесплатные версии.

Да не надо подробно. В чем проблема озвучить количество пользователей этих бесплатных версий? И на какой срок действия вы выдаете ключ открытым проектам (или он бессрочный?) ? Это можно уместить в двух, максимум трех предложениях.

И вообще не люблю, когда кто-то начинает что-то требовать.

Какое же это требование, если я написал «просьба»? Может я таким образом хочу лучше оценить полезность вашего коммерческого ПО для опенсорса. Сами же всюду пишете, что от разовых проверок толку ноль.

Ну, что сказать, молодцы. Только не забывайте, что они занимаются этой «благотворительностью» за счет грантов министерства обороны и ещё кого-то.

Ну а кто или что вам мешает попробовать получить подобный грант?

SZT ★★★★★
()
Ответ на: комментарий от gag

Скажу так, я держал в виртуалбоксе винду и в ней одну САМ программу с визуализацией обработки, так вот, «аппаратное» 3D было глючным на столько, что его приходилось просто откоючать.
А вот пользователи KVM просто пробрасывают видеокарту.
Ну а что до файлообмена с хостом, то у меня просто расшарена папка на роутере Zixel.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от torvn77

«аппаратное» 3D

Я об обычном 2D.

А вот пользователи KVM просто пробрасывают видеокарту.

Но у меня на ноуте (да и десктопе тоже) только одна карта.

gag ★★★★★
()
Ответ на: комментарий от gag

С ноутм понятно, а с десктопом в чём сложность добавить вторую,
благо всёравно второй монитор под интернет нужен,
да и на райний случай на мониторе два входа есть.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 2)

Какая-то адовая новость. Ничего конкретного, только куча ссылок.

WARNING ★★★★
()
Ответ на: комментарий от znenyegvkby

Интересно, а ваше ПО само-обучаемо? Т.е. оно анализирует собственный код и учитывает похожие ошибки найденные в проектах?

Само - нет. Но мы регулярно улучшаем диагностики и добавляем исключения, чтобы снизить количество ложных срабатываний. Информацию о ложных срабатываниях нам присылают пользователи. Плюс проверяя открытые и закрытые проекты мы сами выписываем места, для которых стоит улучшить работу анализатора.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от anonymous

У вас на сайте встречаются интересные материалы. Но как-то это плохо структурировано. Есть шансы на развитие сайта?

Шанс есть. Структура устарела и нет возможности выбрать статьи по определённой тематике. Со временем мы переработаем сайт, но это не в самых ближайших планах.

Andrey_Karpov_2009
() автор топика
Ответ на: комментарий от Indexator

Интересно, а на реактосе оно шевелится? Или у них нет автономного анализатора?

ReactOS мы проверяли дважды. Правда давно. В 2011 и 2013 году.

P.S. Узнать, что именно мы проверяли и посмотреть соответствующие статьи можно здесь: http://www.viva64.com/ru/a/0084/

Andrey_Karpov_2009
() автор топика

Очень урожайная на коммент «олигофрен» к профилю тема.

Deleted
()

Когда какай-то Вася Пупкин из Задрыпанска громко заявляет, что колесо — это плохо, в его применении масса недостатков и вообще все вокруг дураки, то это говорит об одном — Вася Пупкин из Задрыпанска настолько хочет прославиться, что не заметил как сошел с ума.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.