查找嵌入式C語言程序/軟件中的缺陷的多種技術(shù)

基于模式的靜態(tài)代碼分析、運行時內(nèi)存監(jiān)測、單元測試以及數(shù)據(jù)流分析等軟件驗證技術(shù)是查找嵌入式C語言程序/軟件缺陷行之有效的方法。上述技術(shù)中的每一種都能查找出某一類特定的錯誤。即便如此，如果用戶僅采用上述技術(shù)中的一種或者幾種來進行驗證，這樣的驗證方法很有可能會漏過對程序中的一些缺陷的檢查。解決此類問題的一種安全和有效的策略就是同時使用上述軟件驗證中的所有互補技術(shù)。這樣就能建立起一個牢固的框架來幫助用戶檢查出可能會避開某種特定技術(shù)的缺陷。與此同時，用戶也自然地建立起一個能檢測出關(guān)鍵并且難以查找的功能性錯誤的環(huán)境。

本文將詳盡闡述基于模式的靜態(tài)代碼分析、運行時內(nèi)存錯誤檢測、單元測試以及數(shù)據(jù)流分析等自動化技術(shù)共同使用時是如何查找出嵌入式C語言程序/軟件中的缺陷的。本文中將以Parasoft C++test為例來演示上述各項技術(shù)。C++teST是一個經(jīng)廣泛的最佳實踐證明能提升軟件開發(fā)團隊開發(fā)效率以及軟件質(zhì)量的自動化集成解決方案。

當讀者在閱讀本文以及任何時候思考查找到的缺陷時，關(guān)注文中的截圖是很重要的。自動化檢測例如內(nèi)存崩潰和死鎖的缺陷，毫無疑問對任何開發(fā)團隊都是一項必不可少的任務。盡管如此，最致命的缺陷卻是功能性錯誤，這往往是難以自動發(fā)現(xiàn)的。在本文的結(jié)論部分我們將簡要地討論一下查找這些缺陷的技術(shù)。

情景簡介

為了給出一個具體的示例，我們將就一個我們最近遇到的案例來介紹以及演示我們所推薦的缺陷查找策略：一個運行在ARM 板上的簡單傳感器應用程序。

假設(shè)我們已經(jīng)創(chuàng)建了該應用系統(tǒng)，但是當我們將程序上載到系統(tǒng)目標板上并試圖運行該程序時，我們沒有在LCD屏上看到所預期的輸出。

我們尚不明確系統(tǒng)不能正常工作的原因，因此我們設(shè)法對系統(tǒng)進行調(diào)試，但是在目標板上進行調(diào)試是一件耗時而且煩人的事。因為我們不得不手動分析調(diào)試器的結(jié)果并試圖人工判斷出問題的真正原因?；蛘呶覀兪褂靡恍┍蛔C實能自動定位出錯誤的工具或技術(shù)來幫助我們減輕負擔。


從這一點而言，我們要么期待使用調(diào)試器來調(diào)試程序能夠帶來好運，要么我們嘗試使用一種自動化的測試策略來查找代碼中所存在的錯誤。如果自動化技術(shù)仍然沒有幫助我們查找到錯誤，那么我們不得不回到使用調(diào)試器作為最后的辦法。

基于模式的靜態(tài)代碼分析

這里，我們假設(shè)僅在絕對必要的情況下才使用調(diào)試器進行調(diào)試，因此我們從運行基于模式的靜態(tài)代碼分析開始。它將查找到如下圖所示的問題：

這是違反了 MISRA 的一個規(guī)則，此違規(guī)說明該處的賦值運算符存在一些可疑情況。的確，編程者此處的本意是使用比較運算符而不是賦值運算符。因此我們將此處檢測到的沖突修改掉，并重新運行程序。

我們發(fā)現(xiàn)有了一些改善：一些輸出被顯示在了LCD屏上了。但是，由于一次訪問違規(guī)，程序崩潰掉了。因此我們需要再次地做出選擇。我們是應該使用調(diào)試器還是繼續(xù)使用自動化的錯誤檢測技術(shù)。由于經(jīng)驗告訴我們自動化錯誤檢測技術(shù)能非常高效地檢查出我們當前程序所遇到的內(nèi)存崩潰這類問題，因此我們決定使用運行時內(nèi)存監(jiān)測來查找問題。

整個程序的運行時內(nèi)存監(jiān)測

為了進行運行時內(nèi)存監(jiān)測，我們使用 C++test 來插裝應用程序。這樣的插裝是輕量級的，所以經(jīng)過插裝后的程序適合在目標板上運行。當我們把程序上載到目標板上并運行經(jīng)過插裝的程序后，我們將結(jié)果下載到PC上，如下的錯誤將被報告出來：

該結(jié)果指出在第48行代碼處產(chǎn)生了一次讀取數(shù)組越界的錯誤。顯然，msgIndex變量的值肯定超過了數(shù)組的范圍。如果我們隨著堆棧追蹤上一級的原因，我們將發(fā)現(xiàn)此處的打印信息所指示的值的確超出了數(shù)組的范圍（因為在調(diào)用printMessage()函數(shù)前我們給出了一個錯誤的條件）。我們可以刪除掉這個不必要的條件（value <= 20）以修改這個錯誤。

void handleSensorValue(int value)
{
initialize();
int index = -1;
if (value >= 0 && value <= 10) {
index = VALUE_LOW;
} else if ((value > 10) && (value <= 20)) {
index = VALUE_HIGH;
}
printMessage(index, value);
}[!--empirenews.page--]

然后我們重新運行程序，將不會再報告任何內(nèi)存錯誤。當我們把程序上載到目標板上時，它似乎如我們預期那么在工作了。盡管如此，我們?nèi)匀挥幸恍摹?br />
我們僅查找到我們所執(zhí)行的代碼路徑中的一個內(nèi)存寫溢出實例，我們憑什么能夠斷定我們尚未執(zhí)行到的代碼就不會有內(nèi)存寫溢出錯誤了呢？如果我們檢查覆蓋率分析，我們就會發(fā)現(xiàn)reportSensorFailure()這個函數(shù)從未被執(zhí)行到。我們有必要對這個函數(shù)進行測試，但是具體如何進行呢？建立一個調(diào)用該函數(shù)的單元測試用例就是一個不錯的辦法。

在單元測試中使用運行時內(nèi)存監(jiān)測:我們使用C++test的測試用例向?qū)韯?chuàng)建一個測試用例的框架，并向其中添加一些測試代碼。然后運行該測試用例——以檢查上面提到的未經(jīng)測試的函數(shù)，同時打開運行時內(nèi)存監(jiān)測功能。使用C++teST，全過程大約只需要數(shù)秒鐘。

結(jié)果標明該函數(shù)已經(jīng)被覆蓋到了，但同時也查找到了新的錯誤：

我們的測試用例查找到了更多的內(nèi)存相關(guān)錯誤。很顯然，當失敗處理函數(shù)被調(diào)用時，我們的內(nèi)存初始化存在問題（空指針）。通過更進一步的分析，我們發(fā)現(xiàn)在reportSensorValue()函數(shù)中存在函數(shù)調(diào)用順序錯誤。

finalize()函數(shù)先于printMessage()函數(shù)被調(diào)用，但是finalize()函數(shù)中釋放了printMessage()函數(shù)需要使用的內(nèi)存。

void finalize()
{
if (messages) {
free(messages[0]);
free(messages[1]);
free(messages[2]);
}
free(messages);
}

將函數(shù)調(diào)用順序進行修改后，我們重新運行程序。

這樣我們就解決了上面報告中的第一個錯誤。現(xiàn)在我們再來分析報告中的第二個錯誤：即打印信息中的AccessViolatiONException。產(chǎn)生這個錯誤的原因是相應的消息列表未經(jīng)初始化。為了解決該問題，我們在打印該信息前調(diào)用一次initialize()函數(shù)來對其進行初始化。經(jīng)修改后的函數(shù)如下所示：

void reportSensorFailure()
{
initialize();
printMessage(ERROR, 0);
finalize();
}

當我們再次運行該測試用例時，僅有一個任務被報告出來：未經(jīng)驗證的單元測試用例（an unvalidated unit test case），這其實并不算一條錯誤。我們只需對輸出進行一下驗證，以將該測試用例轉(zhuǎn)換為回歸測試。通過創(chuàng)建合適的斷言，C++test會自動為我們完成這些步驟。

接下來我們再次運行整個程序。覆蓋率分析告訴我們幾乎整個程序都已經(jīng)被覆蓋到了，并且沒有發(fā)現(xiàn)任何內(nèi)存錯誤。

這樣就結(jié)束了嗎？其實不然。雖然我們運行了整個程序并為未覆蓋到的函數(shù)創(chuàng)建了單元測試用例，但還是有一些路徑是沒有被覆蓋到的。我們?nèi)匀豢梢岳^續(xù)創(chuàng)建單元測試用例，但是若指望通過這樣的方法來覆蓋程序中的所有路徑將耗費相當長的時間?；蛘呶覀兪褂昧硗獾姆椒ǎ褂脭?shù)據(jù)流分析來對這些路徑進行模擬。

數(shù)據(jù)流分析

我們使用C++test的BugDetective來進行數(shù)據(jù)流分析，BugDetective能模擬系統(tǒng)中的不同路徑并檢查這些路徑中是否存在潛在的問題。進行數(shù)據(jù)流分析后，我們得到如下結(jié)果：

仔細分析報告的結(jié)果，我們發(fā)現(xiàn)程序中存在一條未被覆蓋到的潛在路徑可能會造成在finalize()函數(shù)中出現(xiàn)兩次free的操作。在程序中，reportSensorValue()函數(shù)調(diào)用了finalize()函數(shù)，然后finalize()函數(shù)調(diào)用了free()。同時，finalize()函數(shù)還會被mainLoop()函數(shù)調(diào)用。我們可以修改finalize()函數(shù)以使其更加智能化，從而修復這個問題，修改后的代碼如下：

void finalize()
{
if (messages) {
free(messages[0]);
free(messages[1]);
free(messages[2]);
free(messages);
messages = 0;
}
}

現(xiàn)在我們再次運行數(shù)據(jù)流分析，得到的結(jié)果將只有兩個問題：

這里我們可能使用了-1作為索引來訪問了數(shù)組。這是由于整型變量index被設(shè)置的初始值為-1，并且存在一條可能通過if語句的路徑在未將該整型變量正確的進行初始化之前便調(diào)用了printMessage()函數(shù)。運行時分析未檢查到這樣的一條路徑，并且該路徑很有可能在真實世界中永遠不可能被執(zhí)行到。這就是靜態(tài)數(shù)據(jù)流分析相對于運真實運行時內(nèi)存監(jiān)測最主要的不足：數(shù)據(jù)流分析能檢查出潛在的路徑，這些路徑可能包含在程序?qū)嶋H執(zhí)行過程中不會執(zhí)行到或不存在的路徑。盡管如此，為了做到有備無患，我們刪除了上述的不必要的條件（value>=0）以修改這個潛在的錯誤。[!--empirenews.page--]

void handleSensorValue(int value)
{
initialize();
int index = -1;
if (value <= 10) {
index = VALUE_LOW;
} else {
index = VALUE_HIGH;
}
printMessage(index, value);
}

相同地，我們也對最后一個報告的錯誤進行相應的處理?，F(xiàn)在我們再次運行數(shù)據(jù)流分析，將不會再有錯誤被報告出來。

為了確保程序運行一切正常，我們重新運行整個分析過程。首先，我們開啟運行時內(nèi)存監(jiān)測并運行應用程序，一切表現(xiàn)正常。然后我們開啟內(nèi)存監(jiān)測并運行單元測試，一個任務被報告出來：

我們的單元測試檢測到reportSensorFailure()函數(shù)的行為已經(jīng)發(fā)生了改變。這是由于我們已經(jīng)對finalize()函數(shù)進行了修改——為了糾正之前報告的一個問題所做的修改。此處報告的任務是為了讓我們注意此修改，并提示我們應該對測試用例進行相應的審查，并且確定是否應該對代碼或者測試用例進行相應的修改，以表示這種新的行為實際上是我們所預期的行為。在檢查完代碼之后，我們發(fā)現(xiàn)后者（修改）是正確的并且應該更新斷言的正確條件。

/* CPPtest_TEST_CASE_BEGIN test_reportSensorFailure */
/* CPPTEST_TEST_CASE_CONTEXT void reportSensorFailure(void) */
void sensor_tests_test_reportSensorFailure()
{
/* Pre-condition initialization */
/* Initializing global variable messages */
{
messages = 0 ;
}
{
/* Tested function call */
reportSensorFailure();
/* Post-condition check */
CPPTEST_ASSERT(0 == ( messages ));
}
}
/* CPPTEST_TEST_CASE_END test_reportSensorFailure */

作為最終的確認，我們需要獨立地運行整個程序——在IDE中關(guān)閉掉運行時內(nèi)存監(jiān)測來對程序進行構(gòu)建。結(jié)果顯示一切如我們所預期一樣運行。

總結(jié)

作為全文的結(jié)尾，讓我們一起對上述各個步驟進行一個鳥瞰式的總結(jié)。

首先，我們開發(fā)的程序并未如我么所預期那樣運行，我們不得不在兩種解決方法中選擇一種來查找程序中的錯誤：通過運行調(diào)試器或者使用自動錯誤檢測技術(shù)。

如果我們使用調(diào)試器運行代碼來查找錯誤，我們將會看到一些很奇怪的現(xiàn)象：程序中的一些變量總是被賦予了相同的值?；谶@種現(xiàn)象我們不得不通過排除法來查找問題的原因——即在應該使用比較運算符的地方我們錯誤地使用了賦值運算符。而靜態(tài)代碼分析則能為我們自動地檢查出該邏輯錯誤。運行時內(nèi)存分析是不可能檢查出這種錯誤的，因為這種錯誤與內(nèi)存無關(guān)。數(shù)據(jù)流分析也很有可能找不到這類錯誤因為數(shù)據(jù)流分析僅僅是通過這些路徑而不會驗證這些條件的正確性。

當我們解決了這個問題后，程序可以運行了，但是仍然還有內(nèi)存相關(guān)的問題。內(nèi)存相關(guān)的問題是很難被調(diào)試器發(fā)現(xiàn)的；當用戶使用調(diào)試器調(diào)試程序時，用戶并不知道內(nèi)存的實際大小。但是自動錯誤檢查工具能夠做到這點。因此，為了查找這些內(nèi)存問題，我們將整個程序進行插裝，并使用運行時內(nèi)存分析工具來運行程序。這樣我們就能知道到底是那一片內(nèi)存發(fā)生了寫溢出錯誤。

盡管如此，在審查覆蓋率分析結(jié)果的時候，我們注意到在目標板上測試的時候，并不是全部代碼都被覆蓋到了。通過自動化的工具得到這樣的覆蓋率信息是簡單的，因為工具會自動地跟蹤覆蓋率，但是，如果我們是通過調(diào)試器，就不得不判斷哪一部分程序經(jīng)過了驗證。而這通常只能依靠我們?nèi)斯び涗浀姆绞絹韺崿F(xiàn)。

當工具提醒我們一些代碼未被覆蓋到時，我們決定改變單元測試來額外地增加我們測試執(zhí)行的覆蓋率。這就揭示了程序中另外一些問題。在目標系統(tǒng)的正常測試中，覆蓋所有函數(shù)也許是不可能完成的任務，因為其中一些函數(shù)可能是硬件的失敗處理函數(shù)或僅在某些小概率的特定情況下才會被調(diào)用的函數(shù)。而對這些函數(shù)的測試對于一些注重安全性的程序而言又是至關(guān)重要的。試想在飛機上用來處理速度傳感器問題的程序中存在著代碼錯誤：我們會有系統(tǒng)崩潰的危險，而不是導致某個設(shè)備為非工作狀態(tài)。因此，通過創(chuàng)建單元測試用例來覆蓋這類型的執(zhí)行路徑往往是對其進行有效測試的唯一方法。

接下來，我們修復了工具檢查到的所有問題，同時通過驗證相應的結(jié)果創(chuàng)建了一個回歸測試用例（作為報告的任務之一引導我們完成）。然后我們運行數(shù)據(jù)流分析來覆蓋在目標系統(tǒng)上即便使用單元測試也未執(zhí)行到的路徑。在此之前，我們幾乎已經(jīng)達到了100%的代碼行覆蓋率，但是我們的路徑覆蓋率卻未達到這個水平。BugDetective幫我們發(fā)現(xiàn)了這些方面的一些潛在問題。這些問題可能并沒有實際發(fā)生或者有可能永遠不會發(fā)生。也許在實際運行時，這些問題僅僅會在當其條件滿足的情況下才會出現(xiàn)，并且在現(xiàn)實生活中，這些條件可能永遠不可能滿足。盡管如此，我們不能保證隨著代碼的升級，應用程序不會執(zhí)行到這些路徑。

安全起見，我們?nèi)匀恍薷牧怂鶊蟾娴膯栴}以排除任何可能影響它的實際應用執(zhí)行的風險。在修改代碼的同時，我們同時也引入了回歸測試，當我們再次運行單元測試時立即被檢測到。在所有的自動化錯誤檢測方法中，回歸測試是唯一能夠幫助我們檢查到代碼是否發(fā)生了功能性的改變的方法，并且能驗證出對代碼進行的修改是否引入了功能性的錯誤以及不可預知的副作用。最后，我們修改了回歸測試套件，并重新測試代碼，發(fā)現(xiàn)一切運行正常。

正如讀者所見，我們使用的一切測試方法——基于模式的靜態(tài)代碼分析、內(nèi)存分析、單元測試、數(shù)據(jù)流分析以及回歸測試——并不是相互競爭的關(guān)系，恰好相反，它們是一種互補的關(guān)系。將上述工具結(jié)合使用，它們就是一套具有強大作用的工具集，并為嵌入式C語言程序/軟件提供一個無可比擬的自動化錯誤檢測解決方案。
總而言之，通過自動地查找很多關(guān)于內(nèi)存和其它編碼的缺陷，我們成功地讓程序運行起來了。盡管如此，值得注意的是，最危險的缺陷卻是實際的功能性錯誤：例如程序并未如所指定的要求運行。而不幸的是，這些錯誤往往是非常難以被發(fā)現(xiàn)的。

查找這類缺陷的最好的一個方式就是通過同行代碼審查來實現(xiàn)。即另指派至少一人來檢查代碼并且審查代碼與需求內(nèi)容的一致性，這樣用戶就能對實際程序是否會如預期那樣運行有一個很好的*估。

另外一個十分有用的策略是圍繞代碼創(chuàng)建一個回歸測試套件，這能幫助用戶快捷地驗證代碼與規(guī)范的一致性。在本文所描述的示例情景中，單元測試被用來強制執(zhí)行應用程序級的運行時內(nèi)存監(jiān)測所未覆蓋到的代碼：它能覆蓋到當前程序的功能性，在此之后，我們對代碼做了一些修改，它能提醒我們代碼出現(xiàn)的相應的功能性問題。事實上，這種單元測試用例應該被更早地創(chuàng)建起來：理想情況下，當用戶在實現(xiàn)程序的功能時就應該被創(chuàng)建起來。這樣，用戶就能得到更高的覆蓋率并同時構(gòu)建起一個更強壯的“安全網(wǎng)”來捕捉關(guān)鍵的功能性改變。
Parasoft的C++test能幫助用戶完成這兩個任務：從自動化到管理同行代碼審查流程，以及幫助團隊創(chuàng)建，持續(xù)地運行并維護一個高效的回歸測試套件。

關(guān)于Parasoft C++test

Parasoft C++test是一個經(jīng)廣泛的最佳實踐證明能提升軟件開發(fā)團隊開發(fā)效率以及軟件質(zhì)量的自動化集成解決方案。C++test能進行諸如編碼策略增強、靜態(tài)代碼分析、運行時內(nèi)存監(jiān)測、自動同行代碼審查以及單元和組件測試，從而為軟件開發(fā)團隊提供一種更加實用的方法來確保其C以及C++程序能如所預期那樣工作。C++test可以用于在通用開發(fā)IDE下的桌面平臺中，以及在回歸測試時通過命令行以批處理模式的方式運行。同時，C++test還集成了Parasoft的報告系統(tǒng)，該系統(tǒng)能提供具有細分能力的基于Web 的儀表板，這使得開發(fā)團隊根據(jù)C++test的測試結(jié)果和其他的一些關(guān)鍵進程指標來更加方便地跟蹤項目的狀態(tài)和趨勢。

通過在宿主機上進行大量的測試以及在目標系統(tǒng)中進行的平滑的驗證，C++test能夠幫助軟件開發(fā)團隊減少花在嵌入式系統(tǒng)開發(fā)中的時間、精力以及成本。隨著代碼在宿主機上的構(gòu)建，C++test的自動化框架使得開發(fā)者能在目標硬件系統(tǒng)尚未準備好的情況下就開始測試以提升代碼質(zhì)量。這大大地縮短了花在目標系統(tǒng)上測試的時間。早期在宿主機上構(gòu)建的測試套件可以被重用來在仿真器或真實的目標板上驗證程序的功能性。