UNINIT.CTOR.MUST

コンストラクタの初期化されていない変数

UNINIT.CTOR.MUST チェッカーは、コンストラクタで初期化されていなかったクラス変数を検出します。

脆弱性とリスク

C++ では、プリミティブデータ型の変数は明示的に初期化する必要があります。クラスメソッドの初期化されていないメンバーが使用されると、通常、予想外の動作につながり、セキュリティに影響を及ぼす可能性があります。

軽減と防止

初期化されていない変数の使用を回避するには、コンストラクタがクラスフィールドをすべて初期化したことを確認します。

脆弱コード例

1
2
3
4
5
6
7
8
  class C {
      int i;
      int j;
    public: 
      C() {
      this->j = 0; 
      }
  };

Klocwork は、コンストラクタが終了するときでも、'this->i' 変数の値が初期化されないままであることを示す 6 行目にフラグを立てます。

関連チェッカー

• UNINIT.CTOR.MUST

外部参考資料

• CERT EXP53-CPP: 初期化されていないメモリの読み込みを行わない
• CERT MEM51-CPP: 動的に割り当てられたリソースは割り当てを適切に解除する
• CWE-457: 初期化されていない変数の使用
• CWE-665: 不適切な初期化