PVS‑Studio 7.38 for macOS, Linux & Windows - 代码质量安全静态分析

PVS‑Studio 7.38 for macOS, Linux & Windows - 代码质量安全静态分析

PVS‑Studio - 代码漏洞扫描工具 | 静态代码测试 | 代码安全分析

请访问原文链接：https://sysin.org/blog/pvs-studio/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

C、C++、C# 和 Java 代码静态分析器

PVS‑Studio 是一款静态分析器，可保护代码质量、安全性 (SAST) 和代码安全

何时需要使用 PVS‑Studio 分析仪

对于开发者

• 开发过程中偶尔会出现错误
• 搜索错误时的调试工作很耗时
• 错误会进入版本控制系统
• 一旦错误被QA专家发现，调试那段代码将变得困难

对于管理者

• 由于存在bug，需要频繁地回到旧任务中
• 用户报告产品中存在错误
• 即使招聘了更多的开发者 (sysin)，也发现代码质量在下降
• 随着代码量的增加，很难评估其质量和可靠性

对于安全专业人士

• 外部代码审计困难
• 潜在客户要求使用这类工具
• 客户要求在开发中遵守安全和可靠性标准

新增功能

2025 年 8 月 15 日

PVS-Studio 7.38：全新 C++ 分析器核心、Java 用户注解、增强的污点分析等

PVS-Studio 7.38 已发布。本版本带来了 C 和 C++ 分析器的全新核心、Java 分析器的用户注解机制、增强的污点分析等功能！详情见下文。

✅ 全新 C 和 C++ 分析器核心

C 和 C++ 分析器拥有了全新的核心，重新设计了解析器、语义分析器和类型系统等组件。
新的核心能更精准地处理模板结构，并更好地解析标准库和基于现代 C++ 标准的代码。
在扩展测试期（EAP）中，新核心已在大量真实项目中展现了稳定的性能。

为保持向后兼容性，我们保留了临时切换回旧核心的功能，可以通过以下方式实现：

• 使用 pvs-studio-analyzer 工具并加上 --use-old-parser 参数；
• 在 .pvsconfig 规则配置文件中添加 //V_USE_OLD_PARSER 标志；
• 在 Settings.xml 配置文件中添加 <UseOldCppParser> 标签；
• 在分析器的 Specific Analyzer Settings 选项卡中使用 Use Old Cpp Parser 设置。

如在分析过程中遇到问题，建议联系技术支持。你的反馈有助于加速新核心的完善。

✅ Java 分析器中的用户注解

PVS-Studio Java 分析器新增了 用户注解 功能，这是一种通过 JSON 格式标记类型和函数的机制，用于向分析器提供额外信息。此前该功能仅在 C/C++ 分析器中可用。

现在你可以将方法和构造函数注解为 污点数据的来源（source）、汇聚点（sink） 或 验证器（validator）。
该功能让分析器能检测到更多漏洞，每个漏洞都会对应一条独立的诊断规则。

✅ 按 MISRA 标准分类诊断规则

PVS-Studio 的 MISRA C / C++ 警告分类页面 现已支持基于版本的展示。

我们将继续扩展对 MISRA C 2023 标准 的覆盖，并计划在 2025 年底完成。

✅ 增强的污点分析机制

我们改进了 C 和 C++ 分析器中的污点分析：

• 现已支持 % 运算符；
• ReadFile 函数中的警告不再被忽略；
• 分支中的污点状态处理得到了增强。

这些改进能更好地发现与 未验证数据 相关的潜在漏洞。

✅ 不兼容变更

以下更改与早期版本不兼容，可能需要调整使用方式：

• V1062 诊断规则在处理 = delete 时的提示信息已修改，因此先前被抑制的警告可能会重新出现；
• 污点分析扩展至更多规则：V557, V609, V610, V1083, V575。之前被抑制的 V5009 警告可能会再次出现；
• C# 分析器 中，JSON 注解里描述方法和构造函数参数的语法发生了变化。详情请查阅文档。

✅ 新增诊断规则

C 和 C++

• V2644. MISRA：泛型选择的控制表达式不得有副作用。
• V2645. MISRA：不得使用附录 K 中规定的语言特性。
• V2646. MISRA：来自 <tgmath.h> 的多参数类型通用宏的所有参数应为同一类型。
• V2647. MISRA：不应直接访问原子对象的结构体和联合体成员。
• V2648. MISRA：空指针常量必须由实现提供的 NULL 宏展开而得。
• V2649. MISRA：来自 <tgmath.h> 的类型通用宏的所有参数应具有合适的基本类型。
• V2650. MISRA：泛型选择的控制表达式必须具有与其标准类型匹配的基本类型。
• V2651. MISRA：使用链式指定符的初始化器不应包含没有指定符的初始化器。

C#

• V3224：建议使用带有 IEqualityComparer 的重载方法，在类似的集合元素类型场景下更一致。
• V3225：数据读取方法返回读取到的字节数，不能返回 -1。

Java

• V5333. OWASP：可能存在 不安全的反序列化漏洞 —— 在反序列化过程中使用了潜在污染的数据来创建对象。
• V5334. OWASP：可能存在 服务端请求伪造（SSRF） —— 潜在污染的数据被用于 URL。
• V6132：可能遗漏或注释掉了 else 块，从而改变了程序逻辑。

下载地址

小版本更新仅保留最新版。

PVS‑Studio 7.38 for macOS (2025-08-15)

• 请访问：https://sysin.org/blog/pvs-studio/

PVS‑Studio 7.38 for Linux (2025-08-15)

• 请访问：https://sysin.org/blog/pvs-studio/

PVS‑Studio 7.38 for Windows (2025-08-15)

• 请访问：https://sysin.org/blog/pvs-studio/

更多相关产品：

• Magic Quadrant for Application Security Testing 2022
• Magic Quadrant for Application Security Testing 2023

更多：HTTP 协议与安全