GCC `-fsanitize=bounds` 与`std::array` 的奇怪行为

Question

我正在尝试使用-fsanitize=bounds 选项在我的代码中找出越界问题，但我遇到了奇怪的行为：

例如在下面的代码中：

#include <cstdlib>
#include <array>

int main (int, char **)
{
    std::array <char, 1> a;
    const char b = a [X]; // X <--- put index here!

    return EXIT_SUCCESS;
}

使用选项编译：$ g++ -std=c++11 -fsanitize=bounds -O0 main.cpp -o main。

如果我尝试访问索引大于 1 的元素，则会报告错误： /usr/include/c++/5/array:53:36: runtime error: index 2 out of bounds for type 'char [1]'.

但如果我尝试访问索引为 1 的元素，一切正常且不会报告错误。

这是预期的行为吗？可能是我错过了什么？

该示例已在以下位置进行测试：

• $ g++ --version g++ (Ubuntu 5.4.0-6ubuntu1~16.04.2) 5.4.0 20160609;
• $ g++ --version g++ (Ubuntu 6.2.0-5ubuntu12) 6.2.0 20161005。

更新
我在 GCC 6 中尝试了 -fsanitize=bounds-strict 并得到了相同的结果。

Answer 1

我无法立即找到有关此功能的文档（或者，实际上，任何类型的强大文档），但我觉得这很可能是该功能的实现细节。获得一个过去的指针是合法的，因此实现无法捕获这一点。似乎该实现通过查看指针来工作，而不是等待这样的指针被取消引用（如果您考虑如何创建-fsanitize=bounds，这很有意义）。

简而言之，这可能只是工具的限制。

在 GCC 6 中，您可以尝试使用 -fsanitize=bounds-strict，这会增强工具的强度（包括增加对检测 OOB 对类似成员的灵活数组的访问的支持）。

我不知道这是库还是编译器问题，但无论哪种方式都值得注意的是，同样的问题目前是一个针对 clang (#21485) 的开放错误，并且 cmets 中的假设与我上面的漫谈.

A third-party article on ubsan 还暗示这最终是预期的行为。

Answer 2

作为@Ripi2 mentioned，数组末尾之后的第一个元素通常被视为结束迭代器。

在这种情况下，-fsanitize=address 可以检测到越界错误，当您访问数组的非法位置时，编译器可以提供更多信息。

g++ -std=c++11 -fsanitize=address -O0 main.cpp -o main

Answer 3

来自https://gcc.gnu.org/onlinedocs/gcc/Instrumentation-Options.html

-fsanitize=界限 此选项启用对数组边界的检测。检测到各种越界访问。灵活的阵列成员，灵活 类似数组成员的数组，以及静态变量的初始化器 存储未检测到。

使用 X>1 会触发此检查（数组越界），正如预期的那样，因为 'a' char 声明，大小 = 1。

编辑

话虽如此，正如@Lightness Races in Orbit 所说，这不是答案。但为读者提供了一些信息。

案例 X==1 是过去结束的事实让我想到了允许过去结束的迭代器。 IOW，似乎 GCC sanitizer 获得了一个用于测试的迭代器，而不是一个引用 a[X]。

@Gluttton 确认使用类似 C 的数组而不是 std::array 的情况 a[1] 显示为错误，正如预期的那样。