[devel] Добавление -Werror=format-security

[devel] Добавление -Werror=format-security

[Vitaly Lipatov]

Есть предложение добавить в стандартные флаги (CFLAGS)
-Werror=format-security
Предотвращает конструкции вида
*printf(msg)
где msg - форматная строка неизвестного содержания.
Наткнулся на это в Mandriva.

P.S.
Мой мотив - чтобы у нас система проверки была не менее строгой, 
чем в других системах.

-- 
С уважением,
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! WINE! LaTeX! LyX! http://freesource.info

Re: [devel] Добавление -Werror=format-security

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 246 bytes --]

On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> Есть предложение добавить в стандартные флаги (CFLAGS)
> -Werror=format-security
gcc 4.4 уже на это ругается. более того - фиг выключишь.
-- 
 С уважением
 Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Добавление -Werror=format-security

[Pavel Solntsev]

Afanasov Dmitry пишет:
> On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
>   
>> Есть предложение добавить в стандартные флаги (CFLAGS)
>> -Werror=format-security
>>     
> gcc 4.4 уже на это ругается. более того - фиг выключишь.
>   
Полностью поддерживаю. Я уже задолбался тратить кучу времени на переход
с одной версии gcc на другую.
А все потому что код написан немного "вольно". Более жесткая "политика"
компилятора непременно сделает
код более стабильный, так как не "менее" стабильный код просто  собрать
нельзя будет.

Re: [devel] Добавление -Werror=format-security

[Led]

On Wednesday, 03 June 2009 04:21:02 Vitaly Lipatov wrote:
> Есть предложение добавить в стандартные флаги (CFLAGS)
> -Werror=format-security
> Предотвращает конструкции вида
> *printf(msg)
> где msg - форматная строка неизвестного содержания.
> Наткнулся на это в Mandriva.
>
> P.S.
> Мой мотив - чтобы у нас система проверки была не менее строгой,
> чем в других системах.

Зачем именно "-Werror"? Может достаточно хотя бы периодически поглядывать 
на "warning:..." при сборке своих пакетов?

-- 
Led

Re: [devel] Добавление -Werror=format-security

[Pavel Solntsev]

Led пишет:
> On Wednesday, 03 June 2009 04:21:02 Vitaly Lipatov wrote:
>   
>> Есть предложение добавить в стандартные флаги (CFLAGS)
>> -Werror=format-security
>> Предотвращает конструкции вида
>> *printf(msg)
>> где msg - форматная строка неизвестного содержания.
>> Наткнулся на это в Mandriva.
>>
>> P.S.
>> Мой мотив - чтобы у нас система проверки была не менее строгой,
>> чем в других системах.
>>     
>
> Зачем именно "-Werror"? Может достаточно хотя бы периодически поглядывать 
> на "warning:..." при сборке своих пакетов?
>
>   
очень много софта собираются с пропусканием этих "warning .... ",
которые в будущем вылазят "гемороем".
А так сразу предется писать "хорошо"

Re: [devel] Добавление -Werror=format-security

[Michael Shigorin]

On Wed, Jun 03, 2009 at 11:28:15AM +0300, Pavel Solntsev wrote:
> А так сразу предется писать "хорошо"

Так сразу придётся выравнивать вагон пакетов с чужим кодом,
что делать без хотя бы отсылки патчей апстриму не очень
продуктивно.  А если отсылать -- так надо резервировать
время на возможные объяснения.

Поэтому "всё и сразу" -- попросту не бывает.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] Добавление -Werror=format-security

[Alexey Rusakov]

[-- Attachment #1: Type: text/plain, Size: 1111 bytes --]

В Срд, 03/06/2009 в 13:23 +0300, Michael Shigorin пишет:
> On Wed, Jun 03, 2009 at 11:28:15AM +0300, Pavel Solntsev wrote:
> > А так сразу предется писать "хорошо"
> 
> Так сразу придётся выравнивать вагон пакетов с чужим кодом,
> что делать без хотя бы отсылки патчей апстриму не очень
> продуктивно.  А если отсылать -- так надо резервировать
> время на возможные объяснения.
> 
> Поэтому "всё и сразу" -- попросту не бывает.
Вот да, согласен. У всех подобных закручиваний гаек есть две стороны.
Обеспечение собираемости новым компилятором ложится не только на
апстрим, но и на мейнтейнеров. И там уже как повезёт с апстримом.

-- 
  Alexey "Ktirf" Rusakov
  GNOME Project
  ALT Linux Team

[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 667 bytes --]

On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> Есть предложение добавить в стандартные флаги (CFLAGS)
> -Werror=format-security
> Предотвращает конструкции вида
> *printf(msg)
> где msg - форматная строка неизвестного содержания.
> Наткнулся на это в Mandriva.

В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
отключить).

Добавить -Werror=format-security по умолчанию куда-либо при текущем уровне
несобираемости Сизифа (4.6%), как мне кажется, ещё рано.

Пока что могу посоветовать читать (или хотя бы грепать) логи сборки
пакетов.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 961 bytes --]

On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> > Есть предложение добавить в стандартные флаги (CFLAGS)
> > -Werror=format-security
> > Предотвращает конструкции вида
> > *printf(msg)
> > где msg - форматная строка неизвестного содержания.
> > Наткнулся на это в Mandriva.
> 
> В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
> см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
> отключить).
> 
> Добавить -Werror=format-security по умолчанию куда-либо при текущем уровне
> несобираемости Сизифа (4.6%), как мне кажется, ещё рано.

Точно рано: сломается сборка ещё примерно 800 пакетов, что почти в 2 раза
превышает число несобирающихся сейчас пакетов.

> Пока что могу посоветовать читать (или хотя бы грепать) логи сборки
> пакетов.

grep 'warning: format not a string literal and no format arguments'


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Ivan A. Melnikov]

On Wed, 3 Jun 2009 15:20:01 +0400
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> 
> > Пока что могу посоветовать читать (или хотя бы грепать) логи сборки
> > пакетов.
> 
> grep 'warning: format not a string literal and no format arguments'
> 
> 

Повод для FR на repocop?

-- 
WBR,
Ivan A. Melnikov

Re: [devel] Добавление -Werror=format-security

[Led]

On Wednesday 03 June 2009 14:20:01 Dmitry V. Levin wrote:
> On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> > On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> > > Есть предложение добавить в стандартные флаги (CFLAGS)
> > > -Werror=format-security
> > > Предотвращает конструкции вида
> > > *printf(msg)
> > > где msg - форматная строка неизвестного содержания.
> > > Наткнулся на это в Mandriva.
> >
> > В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
> > см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
> > отключить).
> >
> > Добавить -Werror=format-security по умолчанию куда-либо при текущем
> > уровне несобираемости Сизифа (4.6%), как мне кажется, ещё рано.
>
> Точно рано: сломается сборка ещё примерно 800 пакетов, что почти в 2 раза
> превышает число несобирающихся сейчас пакетов.
>
> > Пока что могу посоветовать читать (или хотя бы грепать) логи сборки
> > пакетов.
>
> grep 'warning: format not a string literal and no format arguments'

А как правильно предлагается чинить подобное? Я чинил приведением типа и/или 
заменой *printf на puts/fputs - так можно?

-- 
Led

Re: [devel] Добавление -Werror=format-security

[Slava Semushin]

3 июня 2009 г. 18:49 пользователь Led <ledest@gmail.com> написал:
[...]
> А как правильно предлагается чинить подобное? Я чинил приведением типа и/или
> заменой *printf на puts/fputs - так можно?

Что значит "приведением"?

Чинить, думаю, нужно либо printf("%s", msg), либо puts()-ом, да.


-- 
+ Slava Semushin | slava.semushin @ gmail.com
+ ALT Linux Team | php-coder @ altlinux.ru

Re: [devel] Добавление -Werror=format-security

[Damir Shayhutdinov]

>> grep 'warning: format not a string literal and no format arguments'
>
> А как правильно предлагается чинить подобное? Я чинил приведением типа и/или
> заменой *printf на puts/fputs - так можно?

puts/fputs или printf("%s", str); Лучше первое.

Re: [devel] Добавление -Werror=format-security

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 390 bytes --]

On Wed, Jun 03, 2009 at 02:49:35PM +0300, Led wrote:
> On Wednesday 03 June 2009 14:20:01 Dmitry V. Levin wrote:
> > grep 'warning: format not a string literal and no format arguments'
> 
> А как правильно предлагается чинить подобное? Я чинил приведением типа и/или 
> заменой *printf на puts/fputs - так можно?
printf(msg) --> printf("%s", msg)
-- 
С уважением
Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Добавление -Werror=format-security

[Damir Shayhutdinov]

>> А как правильно предлагается чинить подобное? Я чинил приведением типа и/или
>> заменой *printf на puts/fputs - так можно?
>
> puts/fputs или printf("%s", str); Лучше первое.

Причем обе конструкции компилируются в один и тот же код, при -O2.

Вот, сравните:

#include <stdio.h>

int main(void)
{
        const char* p = "test!\n";
        printf("%s", p);
        puts(p);
        return 0;
}


08048390 <main>:
 8048390:       8d 4c 24 04             lea    0x4(%esp),%ecx
 8048394:       83 e4 f0                and    $0xfffffff0,%esp
 8048397:       ff 71 fc                pushl  0xfffffffc(%ecx)
 804839a:       55                      push   %ebp
 804839b:       89 e5                   mov    %esp,%ebp
 804839d:       51                      push   %ecx
 804839e:       83 ec 10                sub    $0x10,%esp
 80483a1:       68 a0 84 04 08          push   $0x80484a0
 80483a6:       e8 e9 fe ff ff          call   8048294 <puts@plt>
 80483ab:       c7 04 24 a6 84 04 08    movl   $0x80484a6,(%esp)
 80483b2:       e8 dd fe ff ff          call   8048294 <puts@plt>
 80483b7:       8b 4d fc                mov    0xfffffffc(%ebp),%ecx
 80483ba:       31 c0                   xor    %eax,%eax
 80483bc:       c9                      leave
 80483bd:       8d 61 fc                lea    0xfffffffc(%ecx),%esp
 80483c0:       c3                      ret

И там и там вызывается puts@plt.

Re: [devel] Добавление -Werror=format-security

[Led]

On Wednesday 03 June 2009 14:52:48 Damir Shayhutdinov wrote:
> >> grep 'warning: format not a string literal and no format arguments'
> >
> > А как правильно предлагается чинить подобное? Я чинил приведением типа
> > и/или заменой *printf на puts/fputs - так можно?
>
> puts/fputs или printf("%s", str); Лучше первое.

Только не забывать, что puts всегда добавляет '\n'

-- 
Led

Re: [devel] Добавление -Werror=format-security

[Led]

On Wednesday 03 June 2009 14:54:13 Afanasov Dmitry wrote:
> On Wed, Jun 03, 2009 at 02:49:35PM +0300, Led wrote:
> > On Wednesday 03 June 2009 14:20:01 Dmitry V. Levin wrote:
> > > grep 'warning: format not a string literal and no format arguments'
> >
> > А как правильно предлагается чинить подобное? Я чинил приведением типа
> > и/или заменой *printf на puts/fputs - так можно?
>
> printf(msg) --> printf("%s", msg)

ИМХО это костыль

-- 
Led

Re: [devel] Добавление -Werror=format-security

[Led]

On Wednesday 03 June 2009 14:59:10 Damir Shayhutdinov wrote:
> >> А как правильно предлагается чинить подобное? Я чинил приведением типа
> >> и/или заменой *printf на puts/fputs - так можно?
> >
> > puts/fputs или printf("%s", str); Лучше первое.
>
> Причем обе конструкции компилируются в один и тот же код, при -O2.

Это понятно. Странно, если было бы по-другому:)
Вот только рассчитывать на "потусторонние силы" (типа -O2) ИМХО не очень 
правильно

-- 
Led

Re: [devel] Добавление -Werror=format-security

[Damir Shayhutdinov]

> Это понятно. Странно, если было бы по-другому:)
> Вот только рассчитывать на "потусторонние силы" (типа -O2) ИМХО не очень
> правильно

Я в смысле если кто-то волнуется о производительности. Для них -O2 это
must have.

Re: [devel] Добавление -Werror=format-security

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 926 bytes --]

On Wed, Jun 03, 2009 at 03:05:27PM +0300, Led wrote:
> On Wednesday 03 June 2009 14:54:13 Afanasov Dmitry wrote:
> > On Wed, Jun 03, 2009 at 02:49:35PM +0300, Led wrote:
> > > On Wednesday 03 June 2009 14:20:01 Dmitry V. Levin wrote:
> > > > grep 'warning: format not a string literal and no format arguments'
> > >
> > > А как правильно предлагается чинить подобное? Я чинил приведением типа
> > > и/или заменой *printf на puts/fputs - так можно?
> >
> > printf(msg) --> printf("%s", msg)
> 
> ИМХО это костыль
не совсем :)
http://doc.bughunter.net/format-string/exploit-fs.html

суть - при передаче переменной в качестве формата, нет гарантии, что в
этой переменное не будет какого-нибудь %p, который заставит printf залезть
в стек и позволит его переписать: There is the `%n' parameter, which
writes the number of bytes already printed, into a variable of our choice.
-- 
С уважением
Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Добавление -Werror=format-security

[Led]

On Wednesday 03 June 2009 15:11:28 Afanasov Dmitry wrote:
> On Wed, Jun 03, 2009 at 03:05:27PM +0300, Led wrote:
> > On Wednesday 03 June 2009 14:54:13 Afanasov Dmitry wrote:
> > > On Wed, Jun 03, 2009 at 02:49:35PM +0300, Led wrote:
> > > > On Wednesday 03 June 2009 14:20:01 Dmitry V. Levin wrote:
> > > > > grep 'warning: format not a string literal and no format arguments'
> > > >
> > > > А как правильно предлагается чинить подобное? Я чинил приведением
> > > > типа и/или заменой *printf на puts/fputs - так можно?
> > >
> > > printf(msg) --> printf("%s", msg)
> >
> > ИМХО это костыль
>
> не совсем :)
> http://doc.bughunter.net/format-string/exploit-fs.html
>
> суть - при передаче переменной в качестве формата, нет гарантии, что в
> этой переменное не будет какого-нибудь %p, который заставит printf залезть
> в стек и позволит его переписать: There is the `%n' parameter, which
> writes the number of bytes already printed, into a variable of our choice.

Костыль - использовать функцию для форматирования, если ничего форматировать 
не нужно.

-- 
Led

Re: [devel] Добавление -Werror=format-security

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 842 bytes --]

On Wed, Jun 03, 2009 at 03:19:43PM +0300, Led wrote:
> On Wednesday 03 June 2009 15:11:28 Afanasov Dmitry wrote:
> > On Wed, Jun 03, 2009 at 03:05:27PM +0300, Led wrote:
> > > > printf(msg) --> printf("%s", msg)
> > >
> > > ИМХО это костыль
> >
> > не совсем :)
> > http://doc.bughunter.net/format-string/exploit-fs.html
> >
> Костыль - использовать функцию для форматирования, если ничего форматировать 
> не нужно.
ээ, то есть printf("%s", msg) костыль по сравнению с puts? значит я не так
понял, сорри :)

хотя, как выяснилось, компилятор вполне оптимизирует. а если
оптимизировать самому, то быстрее fwrite, и тем более write, ну а с sysctl
вообще никто не сравнится :)

в общем - не уверен что на данном уровне абстракции это костыль. хотя душа
не лежит использовать ("%s", msg).
-- 
С уважением
Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Добавление -Werror=format-security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1106 bytes --]

On Wed, Jun 03, 2009 at 03:20:01PM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> > On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> > > Есть предложение добавить в стандартные флаги (CFLAGS)
> > > -Werror=format-security
> > > Предотвращает конструкции вида
> > > *printf(msg)
> > > где msg - форматная строка неизвестного содержания.
> > > Наткнулся на это в Mandriva.
> > 
> > В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
> > см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
> > отключить).
> > 
> > Добавить -Werror=format-security по умолчанию куда-либо при текущем уровне
> > несобираемости Сизифа (4.6%), как мне кажется, ещё рано.
> 
> Точно рано: сломается сборка ещё примерно 800 пакетов, что почти в 2 раза
> превышает число несобирающихся сейчас пакетов.

С другой стороны, 800 пакетов на 12 недель даёт в среднем чуть менее 10
пакетов в день, так что, ввиду тривиальности исправления в подавляющем
большинстве случаев, наверное, можно и включить...


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1544 bytes --]

On Wed, Jun 03, 2009 at 02:49:35PM +0300, Led wrote:
> On Wednesday 03 June 2009 14:20:01 Dmitry V. Levin wrote:
> > On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> > > > Есть предложение добавить в стандартные флаги (CFLAGS)
> > > > -Werror=format-security
> > > > Предотвращает конструкции вида
> > > > *printf(msg)
> > > > где msg - форматная строка неизвестного содержания.
> > > > Наткнулся на это в Mandriva.
> > >
> > > В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
> > > см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
> > > отключить).
> > >
> > > Добавить -Werror=format-security по умолчанию куда-либо при текущем
> > > уровне несобираемости Сизифа (4.6%), как мне кажется, ещё рано.
> >
> > Точно рано: сломается сборка ещё примерно 800 пакетов, что почти в 2 раза
> > превышает число несобирающихся сейчас пакетов.
> >
> > > Пока что могу посоветовать читать (или хотя бы грепать) логи сборки
> > > пакетов.
> >
> > grep 'warning: format not a string literal and no format arguments'
> 
> А как правильно предлагается чинить подобное? Я чинил приведением типа и/или 
> заменой *printf на puts/fputs - так можно?

В общем случае функции с атрибутом
__format__(__printf__,STRING-INDEX,FIRST-TO-CHECK)
заменить string на "%s",string.
В случае с printf/fprintf можно заменить и на fputs.
Замена на puts обычно не подходит из-за слегка отличающегося поведения.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1633 bytes --]

On Thu, Jun 04, 2009 at 01:14:52AM +0400, Dmitry V. Levin wrote:
> On Wed, Jun 03, 2009 at 03:20:01PM +0400, Dmitry V. Levin wrote:
> > On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> > > > Есть предложение добавить в стандартные флаги (CFLAGS)
> > > > -Werror=format-security
> > > > Предотвращает конструкции вида
> > > > *printf(msg)
> > > > где msg - форматная строка неизвестного содержания.
> > > > Наткнулся на это в Mandriva.
> > > 
> > > В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
> > > см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
> > > отключить).
> > > 
> > > Добавить -Werror=format-security по умолчанию куда-либо при текущем уровне
> > > несобираемости Сизифа (4.6%), как мне кажется, ещё рано.
> > 
> > Точно рано: сломается сборка ещё примерно 800 пакетов, что почти в 2 раза
> > превышает число несобирающихся сейчас пакетов.
> 
> С другой стороны, 800 пакетов на 12 недель даёт в среднем чуть менее 10
> пакетов в день, так что, ввиду тривиальности исправления в подавляющем
> большинстве случаев, наверное, можно и включить...

Мне кажется что не надо включать -Werror флаги в компиляторе по
умолчанию.  Компилятор это же не только для сборки пакетов, чтобы
местные политики туда засовывать.

Мы и так уже засунули в компилятор --as-needed и FORTIFY_SOURCE.
Для поддержки -debug пакетов надо туда по умолчанию включить -g.
Тогда получается компилятор с "нашим пресетом" опций.  Типа мы
прочитали man gcc и все хорошие опции по умолчанию включили.

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1550 bytes --]

On Thu, Jun 04, 2009 at 01:30:38AM +0400, Alexey Tourbin wrote:
> On Thu, Jun 04, 2009 at 01:14:52AM +0400, Dmitry V. Levin wrote:
> > On Wed, Jun 03, 2009 at 03:20:01PM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> > > > On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> > > > > Есть предложение добавить в стандартные флаги (CFLAGS)
> > > > > -Werror=format-security
> > > > > Предотвращает конструкции вида
> > > > > *printf(msg)
> > > > > где msg - форматная строка неизвестного содержания.
> > > > > Наткнулся на это в Mandriva.
> > > > 
> > > > В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
> > > > см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
> > > > отключить).
> > > > 
> > > > Добавить -Werror=format-security по умолчанию куда-либо при текущем уровне
> > > > несобираемости Сизифа (4.6%), как мне кажется, ещё рано.
> > > 
> > > Точно рано: сломается сборка ещё примерно 800 пакетов, что почти в 2 раза
> > > превышает число несобирающихся сейчас пакетов.
> > 
> > С другой стороны, 800 пакетов на 12 недель даёт в среднем чуть менее 10
> > пакетов в день, так что, ввиду тривиальности исправления в подавляющем
> > большинстве случаев, наверное, можно и включить...
> 
> Мне кажется что не надо включать -Werror флаги в компиляторе по
> умолчанию.

Предложение было включить -Werror=format-security в %optflags,
а не в компилятор.  Хотя пакеты могут и проигнорировать %optflags.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Led]

On Thursday, 04 June 2009 00:30:38 Alexey Tourbin wrote:
> On Thu, Jun 04, 2009 at 01:14:52AM +0400, Dmitry V. Levin wrote:
> > On Wed, Jun 03, 2009 at 03:20:01PM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> > > > On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> > > > > Есть предложение добавить в стандартные флаги (CFLAGS)
> > > > > -Werror=format-security
> > > > > Предотвращает конструкции вида
> > > > > *printf(msg)
> > > > > где msg - форматная строка неизвестного содержания.
> > > > > Наткнулся на это в Mandriva.
> > > >
> > > > В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
> > > > см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
> > > > отключить).
> > > >
> > > > Добавить -Werror=format-security по умолчанию куда-либо при текущем
> > > > уровне несобираемости Сизифа (4.6%), как мне кажется, ещё рано.
> > >
> > > Точно рано: сломается сборка ещё примерно 800 пакетов, что почти в 2
> > > раза превышает число несобирающихся сейчас пакетов.
> >
> > С другой стороны, 800 пакетов на 12 недель даёт в среднем чуть менее 10
> > пакетов в день, так что, ввиду тривиальности исправления в подавляющем
> > большинстве случаев, наверное, можно и включить...
>
> Мне кажется что не надо включать -Werror флаги в компиляторе по
> умолчанию.  Компилятор это же не только для сборки пакетов, чтобы
> местные политики туда засовывать.
>
> Мы и так уже засунули в компилятор --as-needed и FORTIFY_SOURCE.

Лично я их благополучно оттуда выкинул. И так же благополучно включил 
по-умолчанию в %optflags. С тоски зрения сборки пакетов у меня ничего не 
изменилось, зато компилятором теперь можно пользоваться НЕ ТОЛЬКО для сборки 
пакетов. Я считаю (как обычно - ошибочно), что gcc разрешено пользоваться не 
только для сборки ALT-пакетов:)

-- 
Led

Re: [devel] Добавление -Werror=format-security

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2451 bytes --]

On Thu, Jun 04, 2009 at 01:05:29AM +0300, Led wrote:
> On Thursday, 04 June 2009 00:30:38 Alexey Tourbin wrote:
> > On Thu, Jun 04, 2009 at 01:14:52AM +0400, Dmitry V. Levin wrote:
> > > On Wed, Jun 03, 2009 at 03:20:01PM +0400, Dmitry V. Levin wrote:
> > > > On Wed, Jun 03, 2009 at 02:54:21PM +0400, Dmitry V. Levin wrote:
> > > > > On Wed, Jun 03, 2009 at 05:21:02AM +0400, Vitaly Lipatov wrote:
> > > > > > Есть предложение добавить в стандартные флаги (CFLAGS)
> > > > > > -Werror=format-security
> > > > > > Предотвращает конструкции вида
> > > > > > *printf(msg)
> > > > > > где msg - форматная строка неизвестного содержания.
> > > > > > Наткнулся на это в Mandriva.
> > > > >
> > > > > В gcc4.4 я включил по умолчанию -Wformat и -Wformat-security,
> > > > > см. "ALT Linux gcc 4.4.0-alt1" в "info gcc" (там же написано, как это
> > > > > отключить).
> > > > >
> > > > > Добавить -Werror=format-security по умолчанию куда-либо при текущем
> > > > > уровне несобираемости Сизифа (4.6%), как мне кажется, ещё рано.
> > > >
> > > > Точно рано: сломается сборка ещё примерно 800 пакетов, что почти в 2
> > > > раза превышает число несобирающихся сейчас пакетов.
> > >
> > > С другой стороны, 800 пакетов на 12 недель даёт в среднем чуть менее 10
> > > пакетов в день, так что, ввиду тривиальности исправления в подавляющем
> > > большинстве случаев, наверное, можно и включить...
> >
> > Мне кажется что не надо включать -Werror флаги в компиляторе по
> > умолчанию.  Компилятор это же не только для сборки пакетов, чтобы
> > местные политики туда засовывать.
> >
> > Мы и так уже засунули в компилятор --as-needed и FORTIFY_SOURCE.
> 
> Лично я их благополучно оттуда выкинул. И так же благополучно включил 
> по-умолчанию в %optflags. С тоски зрения сборки пакетов у меня ничего не 
> изменилось,

Это значит, что вам повезло с хорошим качеством и малым количеством
пакетов.

> зато компилятором теперь можно пользоваться НЕ ТОЛЬКО для сборки 
> пакетов. Я считаю (как обычно - ошибочно), что gcc разрешено пользоваться не 
> только для сборки ALT-пакетов:)

Ответ на вопрос, что лучше, пропатчить все пакеты на тему правильного
использования %optflags, или патчить сборку сторонней софтины на тему
отключения некоторых умолчаний, добавленных в gcc, у каждого свой.
Если бы на вопросы подобного рода не было бы многообразия ответов, то
не было бы такого многообразия дистрибутивов.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1760 bytes --]

On Thu, Jun 04, 2009 at 02:45:21AM +0400, Dmitry V. Levin wrote:
> > > Мне кажется что не надо включать -Werror флаги в компиляторе по
> > > умолчанию.  Компилятор это же не только для сборки пакетов, чтобы
> > > местные политики туда засовывать.
> > >
> > > Мы и так уже засунули в компилятор --as-needed и FORTIFY_SOURCE.
> > 
> > Лично я их благополучно оттуда выкинул. И так же благополучно включил 
> > по-умолчанию в %optflags. С тоски зрения сборки пакетов у меня ничего не 
> > изменилось,
> 
> Это значит, что вам повезло с хорошим качеством и малым количеством
> пакетов.
> 
> > зато компилятором теперь можно пользоваться НЕ ТОЛЬКО для сборки 
> > пакетов. Я считаю (как обычно - ошибочно), что gcc разрешено пользоваться не 
> > только для сборки ALT-пакетов:)
> 
> Ответ на вопрос, что лучше, пропатчить все пакеты на тему правильного
> использования %optflags, или патчить сборку сторонней софтины на тему
> отключения некоторых умолчаний, добавленных в gcc, у каждого свой.
> Если бы на вопросы подобного рода не было бы многообразия ответов, то
> не было бы такого многообразия дистрибутивов.

Дело ещё в том что gcc как величайшее достижение человечества особо не
вызывает энтузиазма.  Известно например что msvc генерирует код который
работает в полтора раза быстрее чем gcc.  А уж какие он предупреждения
выдает это спасибо на том что есть.

Например, что касается конструкций вида printf(str).  Пусть эта
конструкция находится в статической функции.  Сможет ли gcc в таком
случае проверить все вызовы статической функции, включая полный откат
назад (back propagation) по всем вызывающим статическим функциям?
То есть подавить предупреждение, если вызов с неправильным аргументом
str логически невозможен?

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Alexey Rusakov]

[-- Attachment #1: Type: text/plain, Size: 1629 bytes --]

В Чтв, 04/06/2009 в 07:13 +0400, Alexey Tourbin пишет: 
> Например, что касается конструкций вида printf(str).  Пусть эта
> конструкция находится в статической функции.  Сможет ли gcc в таком
> случае проверить все вызовы статической функции, включая полный откат
> назад (back propagation) по всем вызывающим статическим функциям?
> То есть подавить предупреждение, если вызов с неправильным аргументом
> str логически невозможен?
Это очень спорная фича. Я не вижу причин использовать подобную
конструкцию, даже если она логически безопасна. Т.е. я за выдачу
предупреждения даже в подобных "вроде как безопасных" случаях.

Ну и насчёт msvc, генерящего в полтора раза более быстрый код для
программной платформы, неродной для gcc - это не очень честное
сравнение. Уж лучше icc тогда в пример приводите, он под линухом есть. И
таки да, могучий компилятор. Но закрытый и генерит Intel-специфичный
код.

-- 
  Alexey "Ktirf" Rusakov
  GNOME Project
  ALT Linux Team

[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] Добавление -Werror=format-security

[Led]

On Thursday, 04 June 2009 23:14:08 Alexey Rusakov wrote:
> В Чтв, 04/06/2009 в 07:13 +0400, Alexey Tourbin пишет:
> > Например, что касается конструкций вида printf(str).  Пусть эта
> > конструкция находится в статической функции.  Сможет ли gcc в таком
> > случае проверить все вызовы статической функции, включая полный откат
> > назад (back propagation) по всем вызывающим статическим функциям?
> > То есть подавить предупреждение, если вызов с неправильным аргументом
> > str логически невозможен?
>
> Это очень спорная фича. Я не вижу причин использовать подобную
> конструкцию, даже если она логически безопасна. Т.е. я за выдачу
> предупреждения даже в подобных "вроде как безопасных" случаях.
>
> Ну и насчёт msvc, генерящего в полтора раза более быстрый код для
> программной платформы, неродной для gcc - это не очень честное
> сравнение. Уж лучше icc тогда в пример приводите, он под линухом есть. И
> таки да, могучий компилятор.

Не намного и далеко не всегда генерит он код лучше gcc-4.4

> Но закрытый и генерит Intel-специфичный 
> код.

Это не совсем так. Для AMD тоже отлично компилит.

-- 
Led

[devel] [JT] icc (was: Добавление -Werror=format-security)

[Michael Shigorin]

On Thu, Jun 04, 2009 at 11:30:23PM +0300, Led wrote:
> > Но закрытый и генерит Intel-специфичный код.
> Это не совсем так. Для AMD тоже отлично компилит.

С патчиком, или уже без?

BTW выложил бы nosrc.rpm, что ли.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] [JT] icc (was: Добавление -Werror=format-security)

[Konstantin Pavlov]

On Sat, Jun 06, 2009 at 03:42:55PM +0300, Michael Shigorin wrote:
> On Thu, Jun 04, 2009 at 11:30:23PM +0300, Led wrote:
> > > Но закрытый и генерит Intel-специфичный код.
> > Это не совсем так. Для AMD тоже отлично компилит.
> 
> С патчиком, или уже без?
> 
> BTW выложил бы nosrc.rpm, что ли.

дадада! интересно же.

-- 
<AMike[home]> gns|france: незнаю чем тебе стрици не понравились. по моему очень
              вкусный деликатес
<Vitls> .оО(Впервые на арене! Об устрицах спорят те, кто их ел)