CERT C: Rule EXP37-C

Call functions with the correct number and type of arguments

このページをすべて展開する

説明

ルール定義

正しい個数かつ正しい型の引数を指定して関数を呼び出します。1

Polyspace 実装

ルール チェッカーは以下の問題をチェックします。

  • ファイル アクセス モードまたはステータスが不適切です

  • 関数ポインターの信頼性の低いキャスト

  • 標準関数が不適切な引数で呼び出されました

  • サポートされない複素数の引数

  • 関数宣言の不一致

  • 互換性のない引数

すべて展開する

問題

ファイル アクセス モードまたはステータスが不適切ですは、fopen または open グループの関数を、無効または互換性のないファイル アクセス モードで、ファイル作成フラグで、あるいはファイル ステータス フラグを引数として使用した場合に発生します。たとえば、関数 open の場合、有効な例は次のとおりです。

  • 有効なアクセス モードには、O_RDONLYO_WRONLY および O_RDWR が含まれる。

  • 有効なファイル作成フラグには、O_CREATO_EXCLO_NOCTTY および O_TRUNC が含まれる。

  • 有効なファイル ステータス フラグには、O_APPENDO_ASYNCO_CLOEXECO_DIRECTO_DIRECTORYO_LARGEFILEO_NOATIMEO_NOFOLLOWO_NONBLOCKO_NDELAYO_SHLOCKO_EXLOCKO_FSYNCO_SYNC などが含まれる。

欠陥は次のような状態で発生します。

状態リスク修正方法

関数 fopen に、空であるか無効なアクセス モードが渡される。

ANSI® C 標準によると、fopen への有効なアクセス モードは次のとおり。

  • r,r+

  • w,w+

  • a,a+

  • rb, wb, ab

  • r+b, w+b, a+b

  • rb+, wb+, ab+

fopen では、無効なアクセス モードについて動作が未定義となる。

実装によっては、アクセス モードの次のような拡張が許可されている。

  • GNU®: rb+cmxe,ccs=utf

  • Visual C++®: a+t (ここで、t にはテキスト モードを指定)

ただし、アクセス モードの文字列は、有効なシーケンスのいずれかで始まらなければならない。

fopen に有効なアクセス モードを渡す。
ステータス フラグ O_APPEND が、O_WRONLY または O_RDWR のいずれかと組み合わされずに関数 open に渡される。

O_APPEND は、ファイルの末尾に新規の内容が追加されることを示す。しかし、O_WRONLY または O_RDWR がないとファイルへの書き込みはできない。

関数 open は、この論理エラーについては -1 を返さない。

O_APPEND|O_WRONLY または O_APPEND|O_RDWR をアクセス モードとして渡す。
ステータス フラグ O_APPEND および O_TRUNC がともに関数 open に渡される。

O_APPEND は、ファイルの末尾に新規の内容が追加されることを示す。しかし、O_TRUNC は、ファイルを打ち切ってゼロにすることを示す。したがって、この 2 つのモードは一緒に動作できない。

関数 open は、この論理エラーについては -1 を返さない。

意図することに応じて、2 つのモードのいずれかを渡す。
ステータス フラグ O_ASYNC が関数 open に渡される。 特定の実装では、モード O_ASYNC によって信号駆動の I/O 操作が有効にされない。代わりに、fcntl(pathname, F_SETFL, O_ASYNC); を使用する。

修正方法

修正方法は欠陥の根本原因によって異なります。多くの場合、結果の詳細には欠陥につながる一連のイベントが表示されます。そのシーケンス内のどのイベントについても修正を実装できます。結果の詳細にイベント履歴が表示されない場合は、ソース コード内で右クリック オプションを使用して逆のトレースを行い、これまでの関連するイベントを確認できます。Polyspace デスクトップ ユーザー インターフェイスでの Bug Finder の結果の解釈も参照してください。

以下の修正例を参照してください。

問題を修正しない場合は、改めてレビューされないように結果またはコードにコメントを追加します。詳細は、以下を参照してください。

例 - fopen での無効なアクセス モード
#include <stdio.h>

void func(void) {
    FILE *file = fopen("data.txt", "rw"); //Noncompliant
    if(file!=NULL) {
        fputs("new data",file);
        fclose(file);
    }
}

この例では、アクセス モード rw は無効です。r はファイルを読み取り用に開くことを示し、w は書き込み用に新規ファイルを作成することを示しますが、この 2 つのアクセス モードには互換性がないためです。

修正 — rw のいずれか一方をアクセス モードとして使用

1 つの修正方法として、意図することに応じたアクセス モードを使用します。

#include <stdio.h>

void func(void) {
    FILE *file = fopen("data.txt", "w");
    if(file!=NULL) {
        fputs("new data",file);
        fclose(file);
    }
}
問題

関数ポインターの信頼性の低いキャストは、関数ポインターが引数または戻り値の型が異なる別の関数ポインターにキャストされる場合に発生します。

この欠陥は、プロジェクトのコード言語が C の場合にのみ当てはまります。

リスク

関数ポインターを引数または戻り値の型が異なる別の関数ポインターにキャストし、後者の関数ポインターを使用して関数を呼び出した場合、動作は未定義になります。

修正方法

引数または戻り値の型が一致しない 2 つの関数ポインター間のキャストは避けます。

以下の修正例を参照してください。

問題を修正しない場合は、改めてレビューされないように結果またはコードにコメントを追加します。詳細は、以下を参照してください。

例 - 関数ポインターの信頼性の低いキャスト エラー
#include <stdio.h>
#include <math.h>
#include <stdio.h>
#define PI 3.142
 
double Calculate_Sum(int (*fptr)(double))
{
    double  sum = 0.0;
    double  y;
	  
    for (int i = 0;  i <= 100;  i++)
    {
        y = (*fptr)(i*PI/100);
        sum += y;
    }
    return sum / 100;
}
 
int main(void)
{
    double  (*fp)(double);      
    double  sum;
 
    fp = sin;
    sum = Calculate_Sum(fp);  //Noncompliant
    /* Defect: fp implicitly cast to int(*) (double) */

    printf("sum(sin): %f\n", sum);
    return 0;
}

関数ポインター fpdouble (*)(double) として宣言されています。しかし、関数 Calculate_Sum に渡す時に fp は暗黙的に int (*)(double) にキャストされます。

修正 — 関数ポインターのキャストを回避

1 つの修正方法として、Calculate_Sum の定義における関数ポインターが、fp と同じ引数および戻り値の型をもつことをチェックすることができます。このステップにより、fp が異なる引数または戻り値の型に暗黙的にキャストされないことが保証されます。

#include <stdio.h>
#include <math.h>
#include <stdio.h>
# define PI 3.142
 
/*Fix: fptr has same argument and return type everywhere*/
double Calculate_Sum(double (*fptr)(double)) 
{
    double  sum = 0.0;
    double y;
	    
    for (int i = 0;  i <= 100;  i++)
    {
        y = (*fptr)(i*PI/100);
        sum += y;
    }
    return sum / 100;
}
 
int main(void)
{
    double  (*fp)(double);      
    double  sum;
 
    
    fp = sin;
    sum = Calculate_Sum(fp);
    printf("sum(sin): %f\n", sum);
 
    return 0;
}
問題

標準関数が不適切な引数で呼び出されましたは、特定の標準関数の引数が、その関数における使用の要件を満たさない場合に発生します。

たとえば、こうした関数の引数は次のような形で無効になることがあります。

関数の種類状態リスク修正方法
strlenstrcpy のような文字列操作関数ポインター引数が NULL 終端文字列を指さない。関数の動作が未定義になる。NULL 終端文字列を文字列操作関数に渡す。
fputcfread のような、stdio.h 内のファイル処理関数FILE* ポインター引数が値 NULL をもつことがある。関数の動作が未定義になる。FILE* ポインターを関数の引数として使用する前に、NULL についてテストする。
lseekread のような、unistd.h 内のファイル処理関数 ファイル記述子の引数が -1 になることがある。

関数の動作が未定義になる。

関数 open のほとんどの実装で、ファイル記述子の値として -1 が返される。また、errno が設定され、ファイルを開く際にエラーが発生したことを示す。

関数 open の戻り値を、readlseek の引数として使用する前に、-1 についてテストする。

戻り値が -1 であれば、errno の値をチェックして、どのエラーが発生したのかを確認する。

ファイル記述子の引数が、閉じられたファイル記述子を表している。関数の動作が未定義になる。ファイル記述子は、その使用が完全に終了してから閉じる。あるいは、ファイル記述子を関数の引数として使用する前に再度開く。
mkdtempmkstemps のようなディレクトリ名生成関数文字列テンプレートの最後の 6 文字が XXXXXX でない。関数により、最後の 6 文字が、ファイル名を一意にする文字列で置き換えられる。最後の 6 文字が XXXXXX でない場合、関数は十分な一意性をもつディレクトリ名を生成できない。文字列を関数の引数として使用する前に、その文字列の最後の 6 文字が XXXXXX であるかどうかをテストする。
getenvsetenv のような、環境変数に関連した関数文字列引数が "" である。動作が処理系定義になる。文字列引数を getenvsetenv の引数として使用する前に、"" についてテストする。
文字列引数が等号 = で終了している。たとえば、"C" ではなく "C=" になっている。動作が処理系定義になる。文字列引数を = で終わりにしない。
strtokstrstr のような文字列処理関数

  • strtok: 区切り記号引数が "" である。

  • strstr: 検索文字列引数が "" である。

実装によっては、こうしたエッジ ケースが扱われない。文字列を関数の引数として使用する前に、"" についてテストする。

修正方法

修正方法は欠陥の根本原因によって異なります。多くの場合、結果の詳細には欠陥につながる一連のイベントが表示されます。そのシーケンス内のどのイベントについても修正を実装できます。結果の詳細にイベント履歴が表示されない場合は、ソース コード内で右クリック オプションを使用して逆のトレースを行い、これまでの関連するイベントを確認できます。Polyspace デスクトップ ユーザー インターフェイスでの Bug Finder の結果の解釈も参照してください。

以下の修正例を参照してください。

問題を修正しない場合は、改めてレビューされないように結果またはコードにコメントを追加します。詳細は、以下を参照してください。

例 - strnlen の引数として渡される NULL ポインター
#include <string.h>
#include <stdlib.h>

enum {
    SIZE10 = 10,
    SIZE20 = 20
};

int func() {
    char* s = NULL;
    return strnlen(s, SIZE20); //Noncompliant
}

この例では、NULL ポインターが strnlen の引数として、NULL 終端文字列の代わりに渡されています。

コードの解析を実行する前に、GNU コンパイラを指定します。コンパイラ (-compiler)を参照してください。

修正 — NULL 終端文字列を渡す

NULL 終端文字列を、strnlen の最初の引数として渡します。

#include <string.h>
#include <stdlib.h>

enum {
    SIZE10 = 10,
    SIZE20 = 20
};

int func() {
    char* s = "";
    return strnlen(s, SIZE20);
}
問題

サポートされない複素数の引数は、以下の関数が complex 引数を指定して呼び出された場合に発生します。

  • atan2

  • erf

  • fdim

  • fmin

  • ilogb

  • llround

  • logb

  • nextafter

  • rint

  • tgamma

  • cbrt

  • erfc

  • floor

  • fmod

  • ldexp

  • log10

  • lrint

  • nexttoward

  • round

  • trunc

  • ceil

  • exp2

  • fma

  • frexp

  • lgamma

  • log1p

  • round

  • remainder

  • scalbn

  • copysign

  • expm1

  • fmax

  • hypot

  • llrint

  • log2

  • nearbyint

  • remquo

  • scalbln

リスク

前述の関数の complex 引数を指定した呼び出しは、C++ 標準では未定義の動作であり、予期せぬ結果を招く可能性があります。一部の数学関数は complex 引数をサポートしますが、前述のリスト内の関数はサポートしないため、予期せぬ結果が生じてデバッグが困難になる可能性があります。complex 数に対してこのような数学演算の一部を実行することは数学的に正しくない可能性があり、基礎となるコードのロジックに問題があることを示唆しています。

修正方法

前述の関数の complex 入力引数を指定した呼び出しを回避します。複素数に対して前述の数学演算を実行するには、complex 引数をサポートする代替関数を定義します。

例 — 複素数の引数を指定した関数の log2trunc の呼び出し
#include <complex.h>
#include <tgmath.h>
typedef double complex cDouble;
cDouble Noncompliant (void)
{
    cDouble Z = 2.0 + 4.0 * I;
    cDouble result = log2 (Z); //Noncompliant
    return trunc(result);//Noncompliant
}

この例では、関数 Noncompliant が 2 を基数とする複素数の対数を計算して、結果を切り捨て、その結果を返します。関数の log2trunc は、複素数の引数をサポートしません。Polyspace® は、それらの演算にフラグを設定します。この例を実行するには、コンパイラとして gnu6.x を指定します。たとえば、コマンド ラインでオプション -compiler gnu6.x を使用します。

修正 — 複素数の引数をサポートする関数を定義する

1 つの修正方法として、複素数をサポートする代替関数を定義します。たとえば、log2complex 数をサポートしませんが、関数 log はサポートします。log を使用して 2 を基数とする複素数の対数を計算する関数 complexLog2 を定義します。同様に、trunccomplex 数をサポートしておらず、複素数の切り捨てに関する数学的ルールが明確に定義されていません。複素数の実数部と虚数部を別々に切り捨てる関数 complexTrunc を定義します。


#include <complex.h>
#include <tgmath.h>
typedef double complex cDouble;

cDouble complexLog2(cDouble z) {
    return log (z) / log (2);  // Compliant
}

cDouble complexTrunc(cDouble z){
	return trunc(creal(z)) + I*trunc(cimag(z));  //Compliant
}
 
cDouble Compliant (void)
{
    cDouble Z = 2.0 + 4.0 * I;
    cDouble result = complexLog2 (Z); //Compliant
    return complexTrunc(result);//Compliant
}
問題

関数宣言の不一致は、関数のプロトタイプがその宣言と一致しない場合に発生します。関数が呼び出されるファイル内でプロトタイプが見つからない場合は、Polyspace が呼び出しのシグネチャに基づいてそのプロトタイプを推定します。推定されたプロトタイプが関数の定義と一致しない場合は、Polyspace がその欠陥を報告します。可変個引数関数のプロトタイプは、その関数呼び出しから推定することはできません。同じファイル内でそのプロトタイプを指定せずに可変個引数関数を呼び出すと、Polyspace がその欠陥を報告します。

このような関数に対する呼び出しから関数のプロトタイプを推定するときに、Polyspace は次のような前提を立てます。

  • 推定するプロトタイプの引数の数は関数呼び出しの入力引数と一致する。

  • 推定するプロトタイプの引数の型は関数呼び出しの引数の型を暗黙的にプロモートすることによって設定される。たとえば、符号付きと符号なしの両方の char または short 型の引数は int にプロモートされます。同様に、float 型の引数は double にプロモートされます。

  • 関数定義の引数と関数プロトタイプの引数の型が一致するかどうかは環境によって異なります。Polyspace は、2 つの型のサイズと符号属性が使用されている環境で同じ場合に、それらの型に互換性があると見なします。たとえば、-target を i386 として指定すると、Polyspace は、longint を互換性のある型と見なします。

既定の Polyspace as You Code 解析では、チェッカーはこの問題にフラグを設定しませんPolyspace as You Code 解析で非アクティブにされるチェッカー (Polyspace Access)を参照してください

リスク

C 標準によると、関数宣言の不一致は、そのようなコードをコンパイルして警告しか表示されなかった場合でも、未定義の動作を引き起こす可能性があります。この問題を含んだコードは正常にコンパイルされるため、関数宣言の不一致が診断の難しい予期せぬ結果を招く可能性があります。

修正方法

  • 同じファイル内で後で関数を定義する場合でも、関数を呼び出す前に、その完全なプロトタイプを指定します。

  • 関数プロトタイプ宣言と関数定義における数値引数間の不一致を回避します。

  • 関数プロトタイプ宣言と関数定義の引数の型間の不一致を回避します。

呼び出される関数の完全なプロトタイプが指定された場合、コンパイラは、暗黙的なキャストを通して関数宣言の不一致を解消しようとします。コンパイラが不一致の解消に失敗した場合は、コンパイルが失敗して、予期せぬ動作が阻止されます。このようなコンパイル エラーを修正するには、関数定義と一致する引数の型と数値を使用して関数を呼び出します。

例 — プロトタイプが見つからない関数呼び出し

// file1.c
void foo(int iVar){
	//...
}
void bar(float fVar1, float fVar2){
	//...
}
void bar2(float fVar1){
	//...
}
void fubar(const char* str,...){
	//...
}
void foo2(char cVar){
	//...
}
void call_variadic(){
	fubar("String");
}
 

//file2.c
void bar2(float);
void foo2(int);
void call_funcs(){
	int iTemp;
	float fTemp;
	foo();//Noncompliant
	bar(fTemp,fTemp);//Noncompliant
	fubar("String"); //Noncompliant	
	bar2(iTemp);//Compliant
	foo2(iTemp); //Noncompliant
}

この例では、関数の foofoo2barbar2、および fubar がファイル file1.c で定義されています。これらの関数は、ファイル file2.c 内で呼び出されます。

  • 関数 foo は、1 つの int 入力を伴って file1.c 内で定義され、入力なしで file2.c 内で呼び出されます。file2.c には foo のプロトタイプが含まれていないため、Polyspace が入力を伴わない foo() の呼び出しに基づいてプロトタイプを推定します。この推定されたプロトタイプは file1.c 内の関数宣言と一致しません。Polyspace はその呼び出しにフラグを設定します。

  • 関数 bar は、2 つの float 入力を伴って file1.c 内で定義され、2 つの float 入力を伴って file2.c 内で呼び出されます。file2.c には bar のプロトタイプが含まれていないため、Polyspace が bar(fTemp,fTemp) の呼び出しに基づいてプロトタイプを推定します。関数呼び出しの引数の型をプロモートすることにより、この推定されたプロトタイプのシグネチャは、file1.c 内の関数宣言と一致しない bar(double, double) になります。Polyspace はその呼び出しにフラグを設定します。

  • 関数 bar2 は、1 つの float 入力を伴って file1.c 内で定義されます。この定義と一致する bar2 の完全なプロトタイプが file2.c で指定されます。完全なプロトタイプがこのファイル内に存在するため、bar2 が間違った入力で呼び出された場合は、コンパイラが暗黙的に int 入力 iTempfloat に変換します。プロトタイプによって促進される暗黙的な変換の後は関数に対する呼び出しが宣言と一致するため、Polyspace はその呼び出しにフラグを設定しません。

  • 関数 foo2 は、1 つの char 入力を伴って file1.c 内で定義されます。file2.c 内のそのプロトタイプは、1 つの int 入力を伴って定義されます。定義とプロトタイプが一致しないため、Polyspace は foo2 に対する呼び出しにフラグを設定します。

  • 可変個引数関数 fubar は、file1.c 内で定義されます。call_variadic 内でのこの関数に対する呼び出しはルールに準拠しています。これは、定義後に呼び出しが行わるためです。file2.c 内に、関数 fubar のプロトタイプは含まれていません。関数は可変個の入力を取得するため、そのプロトタイプを推定することはできません。file2.c での fubar に対する呼び出しはプロトタイプが欠落しているため、Polyspace はその呼び出しにフラグを設定します。

修正 — 準拠する関数呼び出し

この欠陥の修正は、すべてのコンパイル モジュールで呼び出される関数の完全なプロトタイプを宣言することです。ベスト プラクティスは、関数プロトタイプ宣言をヘッダー ファイル内で結合してから、それを関数が呼び出されるファイルに含めることです。この場合は、このようなヘッダー ファイル prototype.hfile2.c に含めることにより、フラグが設定された問題を解決します。正しいプロトタイプが宣言されてから、file2.cfoo() を呼び出すとコンパイル エラーになります。これは、コンパイラでは、呼び出しと宣言されたプロトタイプ間の不一致を解決できないためです。コンパイル エラーを解決するには、1 つの int を伴って foo を呼び出します。


// file1.c
void foo(int iVar){
	//...
}
void bar(float fVar1, float fVar2){
	//...
}
void bar2(float fVar1){
	//...
}
void fubar(const char* str,...){
	//...
}
void foo2(char cVar){
	//...
}
void call_variadic(){
	fubar("String");
}
 

//prototypes.h
void foo(int iVar);
void bar(float fVar1, float fVar2);
void fubar(const char* str,...);
void bar2(float);
void foo2(char);
void call_variadic(void);
void call_funcs(void);

//file2.c
#include"prototype.h"
void call_funcs(){
	int iTemp;
	float fTemp;
	//foo(); This call results in compile failure
	foo(iTemp);//Compliant
	bar(fTemp,fTemp);//Compliant
	fubar("String"); //Compliant	
	bar2(iTemp);//Compliant
	foo2('a'); //Compliant
}
問題

"互換性のない引数" は、プロトタイプとの互換性がない引数を使用して外部関数が呼び出される場合に発生します。型の互換性は、使用しているハードウェアとソフトウェアの組み合わせに応じて異なる可能性があります。たとえば、次のコードを考えます。


extern long foo(int);

long bar(long i) {
    return foo(i); //Noncompliant: calls foo(int) with a long              
}
int が想定されている場合に、外部関数 foolong を使用して呼び出されます。int のサイズが long のサイズよりも小さい環境では、この関数呼び出しはプロトタイプとの互換性がないため、欠陥となります。

リスク

パラメーターとの互換性がない引数を使用した外部関数の呼び出しは、未定義の動作です。ご使用の環境によっては、コードがコンパイルされるものの、予期しない方法で動作する可能性があります。

修正方法

外部関数を呼び出すときには、プロトタイプで定義されているパラメーターの型と比較して同等またはそれより小さいサイズの引数型を使用します。ご使用の環境でさまざまな整数型のサイズを確認し、引数とパラメーターの型の互換性を判断します。

例 — 互換性のない引数を使用して外部関数を呼び出す

extern long foo1(int);
extern long foo2(long);
void bar(){
	int varI;
	long varL;
	foo1(varL);//Noncompliant
	foo2(varI);//Compliant
}

この例では、外部関数 foo1long 引数を使用して呼び出されますが、プロトタイプではパラメーターが int として指定されています。x86 アーキテクチャでは、long のサイズは int のサイズを超えています。foo1(varL) 呼び出しは、未定義の動作を引き起こす可能性があります。Polyspace はこの呼び出しにフラグを設定します。foo2(varI) 呼び出しでは int 引数が使用されますが、パラメーターは long として指定されています。int のサイズは long のサイズよりも大きくないため、このタイプの不一致はこのルールに準拠しています。

Polyspace でこの例を実行するには、以下のオプションを使用します。

  • -lang c

  • -target x86_64

ターゲット プロセッサ タイプ (-target) を参照してください。

修正 — 引数をパラメーターと一致させるため、変数を明示的にキャストする

この問題を修正するには、foo1 の引数を明示的にキャストします。これにより、引数の型とパラメーターの型が一致します。


extern long foo1(int);
extern long foo2(long);
void bar(){
	int varI;
	long varL;
	foo1((int)varL);//Compliant
	foo2(varI);//Compliant
}

チェック情報

グループ: Rule 03.式 (EXP)

バージョン履歴

R2019a で導入

すべて展開する

参考

トピック

外部の Web サイト

1 This software has been created by MathWorks incorporating portions of: the “SEI CERT-C Website,” © 2017 Carnegie Mellon University, the SEI CERT-C++ Web site © 2017 Carnegie Mellon University, ”SEI CERT C Coding Standard – Rules for Developing safe, Reliable and Secure systems – 2016 Edition,” © 2016 Carnegie Mellon University, and “SEI CERT C++ Coding Standard – Rules for Developing safe, Reliable and Secure systems in C++ – 2016 Edition” © 2016 Carnegie Mellon University, with special permission from its Software Engineering Institute.

ANY MATERIAL OF CARNEGIE MELLON UNIVERSITY AND/OR ITS SOFTWARE ENGINEERING INSTITUTE CONTAINED HEREIN IS FURNISHED ON AN "AS-IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

This software and associated documentation has not been reviewed nor is it endorsed by Carnegie Mellon University or its Software Engineering Institute.