которые не знают про clang, который тоже умеет статический анализ.

clang даже близко не стоял ни с одной нормальной тулзой, я проверял. Засим разговор окончен.

Мы (и я в частности) сделали для open-source намного больше, чем здесь присутствующие :)

Можем похвастаться созданием компании, которая показывает рост (сейчас нас 12 человек). А если про открытые проекты, то сейчас в базе содержится 1873 примеров подозрительного кода. Половина это точно ошибки, остальное, как минимум, пахнущий и ненадёжный код.

Такой-то вклад сложно переоценить :D

Андрей, тут есть несколько юзеров которые личные проблемы выплёскивают на форуме. У них, как правило, низкая квалификация, но высокое самомнение. С ними бесполезно разговаривать — ничего нового всё равно не скажут, но в душу нагадят изрядно.

Займись чем-нибудь полезным. Люди заявляют, что сделали для OSS больше, чем все присутствующие. Я хочу пруфов.

Крутой тест. Особо не вникая, попивая пиффко ответил на 9/15. Затупил на скобочках, ; после if и еще на чем-то.

В ядро багрепорты слали, многие найденные проблемы потом закрыли патчами.

Там в базе тыща видов ошибок, большинству ошибок подвержены и «адекватные средства разработки».

PVS-Studio используют 3.5 русских нищеброда под винду, у которых нет денег на Coverity, но которые не знают про clang, который тоже умеет статический анализ.

Я бы не был столь категоричен. Как раз российские компании почти не покупают. Основные клиенты, это Европа и США. Да, Coverity круче. Но и цены там совсем другие. Мы работаем на «промежуточном» рынке, между бесплатными Clang, CppCheck и дорогими продуктами, такими как Coverity.

Из тыщи ошибок, которые там есть, многие вызывают лишь желание приложить руку к лицу. Использование memset или сравнение переменной с самой собой, например, никак не являются косяками. С другой стороны, ; не в том месте вполне способен отловить и clang.

Обычно, если дело идет хорошо, то сказали бы и похвастались, что «У напс уже дофига известных клиентов, все раскупают!»

или сравнение переменной с самой собой, например, никак не являются косяками.

Если здесь нет макроса или функции с побочными эффектами (хотя такой стиль программирования сам по себе проблемный), то зачем это нужно? Строго говоря, статические анализаторы не находят ошибок, потому что все ошибки уже выловил компилятор и если проект компилируется ошибок нет :)

зачем это нужно?

> cat nan.c 
#include <stdio.h>
#include <math.h>

int main()
{
    double x = sqrt(-1);
    printf("%d\n", x == x);

    return 0;
}
> clang nan.c -lm -Wall
> ./a.out        
0

Да, оказывается это в IEEE прописано даже. Спасибо, не знал или забыл :) Хотя более по душе функция isnan(), но она вроде только в C99.

Да не отвечайте вы на тупой троллинг. Этот малец не приложил список своих патчей в OSS, а пруфы требует с вас. Вы, если я не ошибаюсь, отправляли свои репорты в такие значимые OpenSource-продукты, как Chromium, Linux, Qt, KDE, Gimp и Haiku OS.

Кстати небольшой вопрос: что теперь делать тем людям, которые хотят проверить какой-нибудь OpenSource-проект вашими продуктами и выложить отчёт куда-нибудь (на тот же хабр)? Как закрытие CppCat повлияет на это?

Я так понимаю, что это троллинг.

Нет, это был не тролинг.

Так что Вы правы, без статических анализаторов искать подобное весьма непросто.

Ну так я это и хотел сказать. Не понимаю, почему это восприняли как троллинг

Кстати небольшой вопрос: что теперь делать тем людям, которые хотят проверить какой-нибудь OpenSource-проект вашими продуктами и выложить отчёт куда-нибудь (на тот же хабр)? Как закрытие CppCat повлияет на это?

Никак не повлияет. Напишите нам, расскажите, что и зачем хотите проверить. И с большой вероятностью мы предоставим лицензию на некоторое время. А если ещё кто-то захочет статью про это написать, так ещё и всячески поможем, и оближем.

люди тратят свои время и деньги на вот такие вот чудовищные костыли типа вашего PVS-Studio.

И что, серьёзно, кто-то на это потратился?

Пробежался по квизу. Глаза сломаешь в поисках банальных опечаток в от фонаря выдернутых откуда-то фрагментах ничем непримечательного кода. И это теперь приравнивается к «глубине знания языка Си++»? Адекватность команды разработчиков pvs-studio под вопросом.

И это теперь приравнивается к «глубине знания языка Си++»?

Где ты увидел что-то про глубину?

В самом начале же написано

Авторы анализатора PVS-Studio предлагают программистам проверить свою внимательность

Мы решили потроллить

Какими важными делами вы там занимаетесь

Что-бы было понятнее предлагаю прочитать вот эту заметку Красивая 64-битная ошибка на языке Си.

Что там такого «красивого»? И GCC и Clang отлично диагностируют всё что можно и нельзя в этой «красивой ошибке»: https://ideone.com/Z9FT4R (а clang ещё больше ошибок выдаёт).

На самом деле, начиная с C99 эту муть с дефолтным int выпилили из языка.

Да. Продукт сформировался и им с удовольствием пользуются некоторые группы разработчиков. Некоторые компании продлевают лицензию на PVS-Studio уже 4 года. Есть клиенты, которые приобрели Site License для 50 разработчиков. Особенно мы гордимся своей поддержкой. Многие клиенты отмечали её быстроту и качество. Более того, наша поддержка нередко превращает негативно настроенного человека в клиента (пример).

Многие понимают и ценят статический анализ. И готовы тратить на это деньги.

Глаза сломаешь в поисках банальных опечаток.

Значит мы продемонстрировали то, что хотели. Есть масса случаев, когда ошибку практически невозможно заменить в процессе обзора кода, но её легко находит статический анализатор кода.

в от фонаря выдернутых откуда-то фрагментах ничем непримечательного кода

Я думаю Вы слишком спешили. Если быть чуть внимательнее, то проходя тест можно заметить, что слева выводится название проекта, в котором анализатор PVS-Studio нашел эту ошибку. Код взят из проектов, которые регулярно используются большим количеством людей: Qt, Chromium, OpenMW и т.д.

class AltOp: public RegExp
{
private:
  RegExp *exp1, *exp2;
  ...
};

uint AltOp::fixedLength()
{
  uint l1 = exp1->fixedLength();
  uint l2 = exp1->fixedLength();

  if (l1 != l2 || l1 == ~0u)
    return ~0;

  return l1;
}

V656 Variables are initialized through the call to the same function. Its probably an error or un-optimized code. Consider inspecting the exp1->fixedLength() expression. actions.cc 391 A trivial misprint. The 'exp2' pointer should have been used to initialize «l2» variable.

Ответ, конечно, правильный, однако рассуждения не убеждают.

Variables are initialized through the call to the same function.

Ну, и что. Полагаете, что одна и та же функция с теми же аргументами всегда возвращает одно и тоже значение штоле ? Не очень понятно, как ваш продукт пришёл к такому выводу, как он работает. Машина же работает формально, откуда она узнала, что тут должно быть ? Не понятно. Здесь привыкли к открытости, не обязательно открытый код, не обязательно бесплатно, но впарить тут кота в мешке, не понятно как работающего - это вы, по моему, сайтецом слегонца ошиблись.

quiz конечно интересный, но йолки-палки..

bool Matrix4::operator==(const Matrix4& other) const {
    // If the bit patterns are identical, they must be
    // the same matrix. If not, they *might* still have
    // equal elements due to floating point weirdness.
    if (memcmp(this, &other, sizeof(Matrix4) == 0)) {
        return true;
    }

    for (int r = 0; r < 4; ++r) {
        for (int c = 0; c < 4; ++c) {
            if (elt[r][c] != other.elt[r][c]) {
                return false;
            }
        }
    }

    return true;
}

тыкаю на memcmp, пототму что он последний параметром принимает 0, мне говорят INCORRECT, и показывают, что нужно тыкать на ) а причину все равно пишут ту самую. The number of compared elements is calculated by the "sizeof(Matrix4) == 0" expression

хм.

Молодцы

Мы (и я в частности) сделали для open-source намного больше, чем здесь присутствующие :).

Вы молодцы. Ваш «агрессивный маркетинг» густо замешан на помощи свободны проектам. Всё делаете правильно.

Вы молодцы. Ваш «агрессивный маркетинг» густо замешан на помощи свободны проектам. Всё делаете правильно.

Спасибо.

Помощь хороша тогда, когда о ней просят. Когда о ней не просят, это называется немного по-другому.

Конструктивная критика

Помощь хороша тогда, когда о ней просят. Когда о ней не просят, это называется немного по-другому.

Ну хорошо, пусть это будет конструктивной критикой.

Помощь хороша тогда, когда о ней просят

Чтобы свободные проекты отказывались от багрепортов — это что-то новое.

Когда о ней не просят, это называется немного по-другому.

Если завидуешь, то так прямо и скажи.

Да если бы к этим багрепориам не прилагалось освещение на всех сайтах, до которых эти упыри дотянутся, авторов СПО как криворуких ламеров. За такое обычно вкатывают иск о защите деловой репутации, и не выиграть такой суд - это надо хорошо постараться.

Да если бы к этим багрепориам не прилагалось освещение на всех сайтах, до которых эти упыри дотянутся, авторов СПО как криворуких ламеров

Можешь привести пример пример такого освещения? Если же у них везде только разбор багов, то это просто разбор багов и есть, не более. Баги делают все. Даже хороший разработчик может сделать идиотский баг.

Ты по ссылкам-то ходил ?

This error was found in theChromium project by PVS-Studio C/C++ static code analyzer

Даже хороший разработчик может сделать идиотский баг

И это ни разу не повод пиариться на нём всяким упырям.

This error was found in theChromium project by PVS-Studio C/C++ static code analyzer

И что дальше? Где тут назвали авторов проекта «криворукими ламерами» или намекнули на это?

И это ни разу не повод пиариться на нём всяким упырям

Ладно, завидуй дальше

Где тут назвали авторов проекта «криворукими ламерами» или намекнули на это?

Да не намекнули ни разу, разумеется.

как криворуких ламеров

http://habrahabr.ru/post/255365/

И это ни разу не повод пиариться на нём всяким упырям.

А тем временем упыри добрались до Haiku. И жертвы им признательны (см. новость на главной странице :-).

Помощь хороша тогда, когда о ней просят. Когда о ней не просят, это называется немного по-другому.

Ага. А потом такие как ты возмущаются, какого хрена открытый софт глючное и никому ненужное говно. Любой адекватный разработчик будет рад такому багрепорту и такой статье. Не все воспринимают критику и советы «в штыки», как ты.

За такое обычно вкатывают иск о защите деловой репутации, и не выиграть такой суд - это надо хорошо постараться.

Лол. То есть я опубликую, к примеру исследование о какой-нибудь уязвимости в Linux или Windows, то организации и разработчики вправе подать на меня в суд с иском «о защите деловой репутации»? Ты идиот или просто школьник?

Анализатор PVS-Studio даже несмотря на свою проприетарность, помог куче СПО-проектов. А теперь приложи-ка к своему посту список твоих патчей в СПО. Сравним, кто из вас больше помог свободному программному обеспечению.

Да если бы к этим багрепориам не прилагалось освещение на всех сайтах, до которых эти упыри дотянутся, авторов СПО как криворуких ламеров. За такое обычно вкатывают иск о защите деловой репутации, и не выиграть такой суд - это надо хорошо постараться.

Стоп, стоп. А как же принцип open-source, что мол каждый смотрит в код, находит ошибки и это делает проект надёжным. Я ведь вроде на форуме людей, которые за открытые исходники, безопасность и что каждый может посмотреть. И что я слышу! :))))

Код взят из проектов, которые регулярно используются большим количеством людей: Qt, Chromium, OpenMW и т.д.

Ну и что? В любом проекте можно накопать порядочное количество говна. Получается, что реклама продукта звучит как: «посмотрите, как мы в говне ищем конфетку». Что при этом думает типичный разработчик? В моём проекте нет говна, поэтому мне эта штука, которая может хорошо копаться в говне, не нужна.

Для сравнения, есть ещё один продукт: PC-lint. Какая у них реклама? The Bug of the Month. И ошибки искать интересно и о продукте узнаёшь.

Для сравнения, есть ещё один продукт: PC-lint. Какая у них реклама? The Bug of the Month. И ошибки искать интересно и о продукте узнаёшь.

Да, хороший был ресурс. Жаль прекратили его вести (последняя запись датируется 2012 годом).

Можно сказать, в каком-то виде мы взяли у них эстафету. Вот тест, например, сделали. Статьи пишем, в которых не только рассказываем об ошибках, но и даём советы и тому подобное. Некоторые примеры:

• Не зная брода, не лезь в воду. Часть первая.
• Не зная брода, не лезь в воду. Часть вторая.
• Не зная брода, не лезь в воду. Часть третья.
• Не зная брода, не лезь в воду. Часть четвертая.
• 64-битный конь, который умеет считать.
• Эффект последней строки.
• C++11 и 64-битные ошибки.
• И так далее. Приходите читать наш блог.

опять этот WIN ONLY soft?

опять этот WIN ONLY soft?

Only, не only, а если надо под Linux запускаемся и статьи пишем: http://www.viva64.com/ru/b/0311/ , http://www.viva64.com/ru/b/0299/ , http://www.viva64.com/ru/b/0237/ .