Splint (Software)
Splint (Secure Programming Lint) ist eine Software für statische Quellcode-Analysen der Programmiersprache C. Splint ist eine indirekte Weiterentwicklung von Lint. Splint ist freie Software, die unter der GNU General Public License veröffentlicht ist.
Splint analysiert C-Quellcode und weist auf wahrscheinliche Programmierfehler hin, wenn zum Beispiel typische Konstrukte der Programmiersprache C in unüblicher Art und Weise angewendet wurden, die wahrscheinlich aus einer Verwechslung von ähnlichen Operatoren oder durch das Vergessen eines Klammerpaars entstanden sind. Zusätzlich interpretiert Splint diverse Annotationen in C-Kommentaren, um so zwischen der absichtlichen und der versehentlichen Verwendung eines Konstrukts zu unterscheiden und nur bei letzterer eine Fehlerwarnung auszugeben.
Beispiel
Das folgende Beispiel eines fehlerhaften Quellcodes zeigt die Arbeitsweise von Splint. Das Programm sollte eigentlich in einer Schleife zeichenweise von der Eingabe lesen und für jeden Zeilenwechsel eine entsprechende Meldung ausgeben. Das Zeichen „x“ soll das Programm beenden. Alle anderen Zeichen werden direkt ausgegeben.
Das Programm ist allerdings mit typischen Schlampigkeitsfehlern beim Programmieren in C behaftet:
- Die Variable c wird gelesen, ohne vorher initialisiert zu sein.
- Nach dem while-Statement steht ein Semikolon, das eine Endlosschleife bedingt.
- Bei der Zuweisung von getchar findet eine implizite Typumwandlung von int nach char statt.
- Die if-Bedingung enthält eine Zuweisung anstatt eines Vergleichs
- Im switch-Konstrukt fehlt ein break.
#include <stdio.h>
int main ()
{
char c;
while (c != 'x');
{
c = getchar ();
if (c = 'x') return 0;
switch (c)
{
case '\n':
case '\r':
printf ("Zeilenwechsel\n");
default:
printf ("%c",c);
}
}
return 0;
}
Während ein typischer C-Compiler wie gcc hier nur vor der Zuweisung in der if-Anweisung warnt, findet splint sechs verdächtige Codestellen (die Ausgabe wurde der Übersichtlichkeit wegen um erklärende Kommentare gekürzt):
Variable c used before definition
Suspected infinite loop. No value used in loop test (c) is
Assignment of int to char: c = getchar()
Test expression for if is assignment expression: c = 'x'
Test expression for if not boolean, type char: c = 'x'
Fall through case (no preceding break)
Tatsächlich korrespondieren die beanstandeten Punkte im Quellcode mit den Programmierfehlern:
- Die Variable c wird mit 'x' verglichen, obwohl ihr vorher kein Wert zugewiesen wurde. Damit ist das weitere Verhalten des Programms undefiniert.
- Der Rückgabewert der Funktion getchar ist vom Typ int, wird aber einer Variablen vom Typ char zugewiesen. Da der Typ char nicht alle gültigen Werte von int enthält, können Mehrdeutigkeiten entstehen.
- C erlaubt Zuweisungen innerhalb von Ausdrücken. Das ist aber, wie hier, oft unbeabsichtigt.
- In einer switch-Anweisung sollte jeder Zweig explizit mit einem break abgeschlossen werden, ansonsten wird der Code des nächsten Zweiges mit ausgeführt. Bei '\n' und '\r' ist das Absicht, aber im default-Zweig nicht.
Zum Vergleich dazu das korrekte Programm, welches von splint nicht beanstandet wird:
#include <stdio.h>
int main(void)
{
int c = 0;
while (c = getchar(), c != EOF && c != 'x')
{
switch (c)
{
case '\n':
case '\r':
printf ("Zeilenwechsel\n");
break;
default:
printf ("%c",c);
}
}
return 0;
}