www/analyzer/release_notes.html

   1 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
   2           "http://www.w3.org/TR/html4/strict.dtd">
   3 <html>
   4 <head>
   5   <title>Release notes for checker-XXX builds</title>
   6   <link type="text/css" rel="stylesheet" href="menu.css">
   7   <link type="text/css" rel="stylesheet" href="content.css">
   8   <script type="text/javascript" src="scripts/menu.js"></script>
   9 </head>
  10 <body>
  11
  12 <div id="page">
  13 <!--#include virtual="menu.html.incl"-->
  14 <div id="content">
  15
  16 <h1>Release notes for <tt>checker-XXX</tt> builds</h1>
  17
  18 <h4 id="checker_269">checker-269</h4>
  19 <p><b>built:</b> September 25, 2012</br>
  20         <b>download:</b> <a href="http://bit.ly/USf8ge">checker-269.tar.bz2</a></p>
  21         <p><b>highlights:</b></p>
  22         <ul>
  23                 <li>Significantly improves interprocedural analysis for Objective-C.</li>
  24                 <li>Numerous bug fixes and heuristics to reduce false positives reported
  25                         over checker-268.</li>
  26         </ul>
  27
  28 <h4 id="checker_268">checker-268</h4>
  29 <p><b>built:</b> September 11, 2012</br>
  30         <b>download:</b> <a href="http://bit.ly/U75NOp">checker-268.tar.bz2</a></p>
  31         <p><b>highlights:</b></p>
  32
  33 <ul>
  34         <li>Adds initial interprocedural analysis support for C++ and Objective-C. This will greatly improve analysis coverage and find deeper bugs in Objective-C and C++ code.</li>
  35         <li>Contains a static analyzer newer than Xcode 4.4.</li>
  36 </ul>
  37
  38 <p>NOTE: this checker build includes a <i>huge</i> number of changes. It has the potential to find many more bugs, but may report new kinds of false positives. We'd like to know about
  39 these, and any other problems you encounter. When you encounter an issue, please <a href="/filing_bugs.html">file a bug report</a>.</p>
  40
  41 <h4 id="checker_267">checker-267</h4>
  42 <p><b>built:</b> June 1, 2012</br>
  43    <b>download:</b> <a href="http://bit.ly/OIdyI7">checker-267.tar.bz2</a></p>
  44    <p><b>highlights:</b></p>
  45
  46 <p>Adds basic interprocedural analysis support for blocks.</p>
  47
  48 <h4 id="checker_266">checker-266</h4>
  49 <p><b>built:</b> May 23, 2012</br>
  50    <b>download:</b> <a href="http://bit.ly/LgtUWx">checker-266.tar.bz2</a></p>
  51    <p><b>highlights:</b></p>
  52
  53 <p>Contains numerous stability fixes over checker-266, especially when analyzing C++11 code.</p>
  54
  55 <h4 id="checker_265">checker-265</h4>
  56 <p><b>built:</b> May 8, 2012</br>
  57    <b>download:</b> <a href="http://bit.ly/JceZBE">checker-265.tar.bz2</a></p>
  58    <p><b>highlights:</b></p>
  59
  60 <p>This release contains a fix for a major crasher introduced in checker-264, and various refinements to
  61 improve the precision and reduce the false positive rate of the analyzer. It also enables a new unix.MallocSizeof check, which reports
  62 inconsistencies between the casted type of the return value of a 'malloc/calloc/realloc' call and the operand
  63 of sizeof expressions contained within its argument(s).</p>
  64
  65 <h4 id="checker_264">checker-264</h4>
  66
  67 <p><b>built:</b> April 26, 2012</br>
  68   <b>download:</b> <a href="http://bit.ly/JATSI8">checker-264.tar.bz2</a></p>
  69   <p><b>highlights:</b></p>
  70
  71 <p>This release contains misc. bug fixes and performance enhancements over checker-263, including
  72   a reduction of some kinds of false positives related to the malloc() checker.</p>
  73
  74 <h4 id="checker_263">checker-263</h4>
  75
  76 <p><b>built:</b> March 22, 2012</br>
  77 <p><b>highlights:</b></p>
  78
  79 <ul>
  80 <li>Fixes several serious bugs with inter-procedural analysis, including a case where retain/releases would be &quot;double-counted&quot;.</li>
  81 </ul>
  82
  83 <h4 id="checker_262">checker-262</h4>
  84
  85 <p><b>built: </b>March 15, 2012</br>
  86 <p><b>highlights:</b></p>
  87
  88 <ul>
  89   <li>Enables experimental interprocedural analysis (within a file), which greatly amplifies the analyzer's ability to find issues.</li>
  90   <li>Many bug fixes to the malloc/free checker.</li>
  91   <li>Support for new Objective-C NSArray/NSDictionary/NSNumber literals syntax, and Objective-C container subscripting.</li>
  92 </ul>
  93
  94 <p>NOTE: This build contains new interprocedural analysis that allows the analyzer to find more complicated bugs that span function boundaries.  It may have problems, performance issues, etc.  We'd like to <a href="/filing_bugs.html">hear about them</a>.
  95
  96 <h4 id="checker_261">checker-261</h4>
  97
  98 <p><b>built: </b>February 22, 2012<br>
  99 <p><b>highlights:</b></p>
 100
 101 <ul>
 102   <li>Contains a new experimental malloc/free checker.</li>
 103   <li>Better support for projects using ARC.</li>
 104   <li>Warns about null pointers passed as arguments to C string functions.</li>
 105   <li>Warns about common anti-patterns in 'strncat' size argument, which can lead to buffer overflows.</li>
 106   <li>set-xcode-analyzer now supports self-contained Xcode.app (Xcode 4.3 and later).</li>
 107   <li>Contains a newer version of the analyzer than Xcode 4.3.</li>
 108   <li>Misc. bug fixes and performance work.</li>
 109 </ul>
 110
 111 <h4 id="checker_260">checker-260</h4>
 112
 113 <p><b>built: </b>January 25, 2012<br>
 114 <p><b>highlights:</b></p>
 115
 116 <p>This is essentially the same as checker-259, but enables the following <i>experimental</i> checkers (please provide feedback):</p>
 117
 118 <ul>
 119   <li>Warns about unsafe uses of CFArrayCreate, CFSetCreate, and CFDictionaryCreate</li>
 120   <li>Warns about unsafe uses of getpw, gets, which are sources of buffer overflows</li>
 121   <li>Warns about unsafe uses of mktemp and mktemps, which can lead to insecure temporary files</li>
 122   <li>Warns about unsafe uses of vfork, which is <a href="https://www.securecoding.cert.org/confluence/display/seccode/POS33-C.+Do+not+use+vfork()">insecure</a> to use</li>
 123   <li>Warns about not checking the return values of setuid, setgid, seteuid, setegid, setreuid, setregid (another security issue)</li>
 124 </ul>
 125
 126 <h4 id="checker_259">checker-259</h4>
 127
 128 <p><b>built: </b>January 25, 2012<br>
 129 <p><b>highlights:</b></p>
 130
 131 <ul>
 132   <li>Contains a newer version of the analyzer than the one shipped in Xcode 4.2.</li>
 133   <li>Significant performance optimizations to reduce memory usage of the analyzer.</li>
 134   <li>Tweaks to scan-build to have it work more easily with Xcode projects using Clang.</li>
 135   <li>Numerous bug fixes to better support code using ARC.</li>
 136 </ul>
 137
 138 <h4 id="checker_258">checker-258</h4>
 139
 140 <p><b>built: </b>October 13, 2011<br>
 141 <p><b>highlights:</b></p>
 142
 143 <ul>
 144   <li>Contains a newer version of the analyzer than the one shipped in Xcode 4.2.</li>
 145   <li>Adds a new security checker for looking at correct uses of the Mac OS KeyChain API.</li>
 146   <li>Supports ARC (please file bugs where you see issues)</li>
 147   <li>Major under-the-cover changes.  This should result in more precise results in some cases, but this is laying the groundwork for major improvements.  Please file bugs where you see regressions or issues.</li>
 148 </ul>
 149
 150 <h4 id="checker_257">checker-257</h4>
 151
 152 <p><b>built: </b>May 25, 2011<br>
 153 <p><b>highlights:</b></p>
 154
 155 <ul>
 156   <li>The analyzer is now far more aggressive with checking conformance with Core Foundation conventions.  Any function that returns a CF type must now obey the Core Foundation naming conventions, or use the <a href="/annotations.html#attr_cf_returns_retained">cf_returns_retained</a> or <a href="/annotations.html#attr_cf_returns_not_retained">cf_returns_not_retained</a> annotations.</li>
 157   <li>Fixed a serious regression where the analyzer would not analyze Objective-C methods in class extensions.</li>
 158   <li>Misc. bug fixes to improve analyzer precision.
 159   </li>
 160 </ul>
 161
 162 <h4 id="checker_256">checker-256</h4>
 163
 164 <p><b>built: </b>April 13, 2011<br>
 165 <p><b>highlights:</b></p>
 166
 167 <ul>
 168   <li>Lots of bug fixes and improvements to analyzer precision (fewer false positives, possibly more bugs found).
 169   <li>Introductory analysis support for C++ and Objective-C++.
 170 </ul>
 171
 172 <p>This build contains basic support for C++ and Objective-C++ that is ready to be tried out
 173   by general users.  It is still in its infancy, but establishes a baseline for things to come.  The main hope is that it can find some
 174   issues and have a reasonable false positive rate.</p>
 175
 176 <p><b>Please</b> <a href="/filing_bugs.html">file bugs</a> when you see issues of any kind so we can assess
 177   where development on C++ analysis support needs to be focused.</p>
 178
 179 <p>To try out C++ analysis support, it should work out of the box using <tt>scan-build</tt>.  If you are using this checker build
 180   as a replacement to the analyzer bundled with Xcode, first use the <tt>set-xcode-analyzer</tt> script to <a href="/xcode.html">change Xcode to use
 181   your version of the analyzer</a>.  You will then need to modify one configuration file in Xcode to enable C++ analysis support.  This can
 182   be done with the following steps:</p>
 183
 184 <ol>
 185   <li>Find the clang .xcspec file:
 186 <pre>$ cd /Developer/Library
 187 $ find . | grep xcspec | grep Clang
 188 ./Xcode/<b>&lt;SNIP&gt;</b>/Clang LLVM 1.0.xcplugin/Contents/Resources/Clang LLVM 1.0.xcspec
 189 </pre></li>
 190   <li>The exact location of the file may vary depending on your installation of Xcode.  Edit that file, and look for the string &quot;--analyze&quot;:
 191 <pre>
 192   SourceFileOption = "--analyze";
 193   FileTypes = (
 194       "sourcecode.c.c",
 195       "sourcecode.c.objc",
 196   );
 197   ...
 198 </pre>
 199   Change the &quot;FileTypes&quot; entry to:
 200 <pre>
 201   FileTypes = (
 202       "sourcecode.c.c",
 203       "sourcecode.c.objc",
 204       "sourcecode.cpp.cpp",
 205       "sourcecode.cpp.objcpp",
 206   );
 207 </pre></li>
 208 <li>Restart Xcode.</li>
 209 </ol>
 210
 211 <h4 id="checker_255">checker-255</h4>
 212
 213 <p><b>built: </b> February 11, 2011<br>
 214 <p><b>highlights:</b></p>
 215
 216 <ul>
 217 <li>Mac OS X builds are now Intel <tt>i386</tt> and <tt>x86_64</tt> only (no <tt>ppc</tt> support)</li>
 218 <li>Turns on new <tt>-init</tt> method checker by default</li>
 219 <li>Reduces memory usage of analyzer by 10%</li>
 220 <li>Misc. fixes to reduce false positives on dead stores and idempotent operations.</li>
 221 </ul>
 222
 223 <h4 id="checker_254">checker-254</h4>
 224
 225 <p><b>built: </b> January 27, 2011<br>
 226 <p><b>highlights:</b></p>
 227
 228 <ul>
 229 <li>Introduces new <tt>-init</tt> method checker to check if a super class's init method is properly called.</li>
 230 <li>Objective-C retain/release checker now reasons about calls to property accessor methods (setter/getter).</li>
 231 <li>Introduces new attribute <a href="annotations.html#attr_ns_consumes_self">ns_consumes_self</a> to educate the Objective-C retain/release checker about custom &quot;init-like&quot; methods that do not follow the standard Cocoa naming conventions.</li>
 232 <li>Introduces new attributes <a href="annotations.html#attr_ns_consumed">ns_consumed</a> and <a href="annotations.html#attr_cf_consumed">cf_consumed</a> to educate the Objective-C retain/release checker about methods/functions that decrement the reference count of a parameter.</li>
 233 </ul>
 234
 235 </div>
 236 </div>
 237 </body>
 238 </html>
 239