CWE:通病总结

已于 2024-12-28 17:10:51 修改
阅读量5.2k 收藏 11
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 安全 c/c++ 文章标签: cwe 代码规范
于 2021-12-16 20:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36428903/article/details/121965667

文章目录

网站

https://cwe.mitre.org/data/definitions/686.html
https://www.sonarqube.org/
https://rules.sonarsource.com/c/RSPEC-959
http://cppcheck.net/ 静态代码检查

Out of bound memory access (index is tainted)

这里的tainted的意思是说,这个index被污染了,如果用了,就有可能导致非法越界访问。这个单词在内里insert 私有某块的时候也会用到。
比如:
int len = strlen(a);
char a = b[len-1];
这里,使用了a的长度来访问b,就属于这种情况。

clang-analyzer-deadcode.DeadStores

如果变量没有使用到,可能产生deadcode的分析结果。
warning: Value stored to ‘ret’ is never read [clang-analyzer-deadcode.DeadStores]

C-style and functional notation

[M

了解本专栏 订阅专栏 解锁全文
C语言常见问题(10):Sections of code should not be commented out
Edsam--活到老学到老,掌握核心技术,做好产品服务!
02-22 2219
注释掉的代码及时清理掉,让函数的body干净清洁,不要杂草丛生!
【C++】SonarQube C++ 静态代码检视规则
u013576331的博客
12-29 2424
举例:Virtual function 'UpdateStatus' is called from constructor 'Remote' at line '42'. Dynamic binding is not used.举例:Function 'CheckRemoteConnection' argument 3 names different: declaration 'remoteType' definition 'type'.可省略,通过返回值编译器可以自行推断。',明确运算符 '&' 和 '?
【Python】告别Python认知复杂度高警告,看这一篇够了 Cognitive Complexity of functions should not be too high
最新发布
田豆芽的IT技术专栏
05-19 365
本文详细解释了Python代码中出现 “Cognitive Complexity of functions should not be too high” 警告的原因,包括嵌套层级过深、过多的条件分支和复杂的逻辑运算等。同时,给出了杜绝该警告的方法,如拆分函数、使用字典映射替代条件分支、简化逻辑运算等,帮助开发者提升代码质量。
组合设计模式中出现的疑问
分享嵌入式,移动端,智能应用,数据库等专业板块,记录知识碎片!!!
01-06 619
Class FinanceDept has a constructer with 1 argument that is not explicit Prefer prefix ++/-- operators for non-primitive types
Unity webgl 版本崩溃提示Memory access out of bounds 系列问题巨坑
qq_20991149的博客
03-30 7082
经过一次次尝试判定是该shader所带贴图通道过多,所以某些浏览器不支持, 大多数浏览器支持的shader 携带贴图通道最多为3个,把该shader换成自己所写的只带三个贴图通道的shader之后,问题完美解决。如上图所示,这真的是个巨坑,只有火狐浏览器可以正常打开,其他浏览器都报上面的错误,百度,翻墙,查找各种办法解决之后无果,只是得出一个结论,有N种原因都可能导致这个问题的出现。进一步的打包测试之后终于发现了罪魁祸首,原来的unity自带的standard shader导致的。
2_Flow_control_statements_for_if,_else_switch_and_defer
captxb的博客
05-04 286
for (1) 基本的 for 循环由三部分组成,它们用分号隔开 初始化语句:在第一次迭代前执行 条件表达式:在每次迭代前求值,一旦为false就终止循环 后置语句:在每次迭代的结尾执行 (2) 初始化语句通常为一句__短变量声明__(使用:=),该变量声明仅在for语句的作用域中可见 (3) 和 C、Java、JavaScript 之类的语言不同,Go 的 for 语句后面的三个构成部分外_...
WSUS CWE:了解哪个WSUS客户端不同步-开源
05-08
标题中的"CWE"通常指的是"Common Weakness Enumeration",这是一个通用的安全弱点分类系统,但在本上下文中,它可能被用作"Client Update Errors"或"Client Synchronization Errors"的缩写,专门指WSUS客户端的更新...
Victoria-2-Cold-War-Enhancement-Mod-CWECWE将Victoria 2带入冷战时代及以后。 这是最终的冷战mod,具有一系列特殊功能,例如意识形态集团,充满活力的国际机构和非殖民化链条,可以准确地模拟冷战和冷战后的世界。 在https://github.comsettintotriesteCWE-Music-Addon-Pack下载CWE音乐
02-12
Victoria-2-Cold-War-Enhancement-Mod-CWECWE将Victoria 2带入冷战时代及以后。 这是最终的冷战mod,具有一系列特殊功能,例如意识形态集团,充满活力的国际机构和非殖民化链条,可以准确地模拟冷战和冷战后的世界...
【2015】CWE:字符嵌入和词嵌入的联合学习(Joint Learning of Character and Word Embeddings)
qq_36291847的博客
04-11 1924
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录 大多数的词嵌入方法都是以词为基本单位,根据词的外部语境来学习词的嵌入,忽略了词的内部结构。然而,在一些语言中,如汉语,一个词通常是由几个汉字组成的,包含了丰富的内部信息。一个词的语义也与它的组成字的意义有关。因此,我们以中文为例,提出了一种字符增强的词嵌入模型。为了解决汉字歧义和非组成词的问题,我们提出了多原型字符嵌入和一种有效的选词方法。我们评估了CWE在词语相关度计算和类比推理方面的有效性。结果表明,CWE优于其他忽略内部字符信息的基
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 622
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
你需要的代码静态检查
weixin_34009794的博客
12-03 1568
代码静态检查 使用cppcheck给工程代码做静态检查,主要发现了以下几个问题: 1. 使用C风格的类型转换 警告如下: C-style pointer casting detected. C++ offers four different kinds of casts as replacements: static_cast, const_cast, dynamic_cast and rei...
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 5659
Fortity 安全评测结果及解决方案
C/C++ 中的宏 (macros) 与宏展开的可视化显示
程永强
02-10 3850
C/C++ 中的宏 (macros) 与宏展开的可视化显示
verilog检测下降沿
zhang_ze1234的博客
10-24 8374
边沿检测在编写FPGA程序时用的比较多,下面的代码实现了下降沿的检测,同理也可以实现上升沿的检测。 module falling_edge_detection( input clk, input rst_n, input in, output detection_res //检测结果 ); reg in_0,in_1,in_2; always @(posedge clk or negedge rst_n) begin if(!rst_n) begin in_0 <= 1'b0;
webassembly 常见错误整理
热门推荐
点滴
12-24 1万+
错误一 RuntimeError: memory access out of bounds 原因 打包的时候添加 --importMemory asc assembly/index.ts -b build/optimized.wasm -t build/optimized.wat --sourceMap --validate --optimize --runtime none --import...
基于社区发现算法对CWE的划分实践
四维创智
07-22 1300
但划分结果,也仅仅只能在研究漏洞攻击收益、攻击效果等领域进行应用,并由于CAPEC标准中定义的攻击收益种类过于单调(过滤重复后,攻击收益仅有34种),且大量CAPEC没有标注攻击收益,从而导致使用该方法划分的CWE簇,若数量保持在10-20个,则导致簇中会出现在图谱中无连通性的节点,大量存在于同一簇中的现象,若数量增加,则又会导致簇与簇之间,重叠度过高。而这其中,同一社区的CWE,在攻击向量的选择上,应保持一定的一致性,对于作用组件类型和攻击载荷发送方式,则会存在差异。基于模块度的社区发现算法。...
C:编译错误:a label can only be part of a statement and a declaration is not a statement
mzhan017的博客
03-21 4220
文章目录原因语法标准解决方法 原因 这个错误的意思是:标签(label)只能是程序语句表达式的一部分,而声明不是程序语句表达式。 这里的表达式,初衷可能是需要做某些具体的计数操作,而声明,只是申请一个内存地址,不算做计算操作。 出现标签的两种情况: 1,在使用goto语句时,需要一个标签来对程序执行做跳转。 2,使用switch条件判断时,每一个case都是一个标签。 #include <stdio.h> int main () { printf("Hello "); swit
KeyError: 'cwe'
07-13
这个错误 `KeyError: 'cwe'` 表示在某个地方试图访问了一个字典中不存在的键 `'cwe'`。这通常意味着你的代码中使用了一个字典,并尝试通过 `'cwe'` 键来获取对应的值,但该键在字典中不存在。 要解决这个错误,你可以检查代码中涉及到 `'cwe'` 键的地方,确保在访问该键之前,该键已经被正确地添加到了字典中。可能的原因包括: 1. 字典中确实没有 `'cwe'` 键。你可以使用 `keys()` 方法检查字典中的所有键,以确认是否存在 `'cwe'` 键。 2. 在访问 `'cwe'` 键之前,字典还没有被正确地初始化或填充。你可以检查代码中字典的初始化和填充过程,确保 `'cwe'` 键已经被正确地添加到了字典中。 3. 代码中可能存在拼写错误或其他误用问题,导致 `'cwe'` 键被错误地引用。仔细检查代码,确保正确地使用了字典键。 通过检查代码并解决以上可能的问题,你应该能够解决这个 `KeyError: 'cwe'` 错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mzhan017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值