npm - @ohos-graphics/stability-code-review - Versions diffs - 0.1.0 - Mend

@ohos-graphics/stability-code-review 0.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (70) hide show

package/references/ExceptionHandling/StabilityCodeReview_ExceptionHandling_003.md ADDED Viewed

@@ -0,0 +1,383 @@
+---
+rule_id: "StabilityCodeReview_ExceptionHandling_003"
+name: "需校验函数返回值"
+category: "异常处理"
+severity: "HIGH"
+language: ["cpp", "c++"]
+author: "OH-Department7 Stability Team"
+---
+# 需校验函数返回值
+## 问题描述
+当函数的返回值表示操作成功与否时，必须校验返回值。忽略返回值可能导致错误未被发现，程序继续执行可能引发更严重的问题。常见的返回值类型包括：错误码、bool类型、指针类型等。
+代码调用会失败的 API（系统调用、第三方库、解码器、文件/网络/内存分配等）后，未检查其返回值或状态码即继续使用输出参数。失败场景下输出参数保持未初始化或处于无效状态，代码继续执行会读写未初始化内存、使用空指针、泄露资源或进入逻辑错误，最终可致崩溃或未定义行为。
+## 检测示例
+### ❌ 问题代码
+```cpp
+// 场景1：忽略bool返回值
+void ProcessFile(const std::string& path) {
+    bool success = ValidatePath(path);  // 返回值被忽略
+    // 未检查success，继续执行
+    OpenFile(path);  // 如果ValidatePath失败，可能导致问题
+}
+// 场景2：忽略错误码返回值
+void HandleData(Data* data) {
+    int ret = InitializeData(data);  // 返回值被忽略
+    // 未检查ret，继续使用data
+    ProcessData(data);  // 如果初始化失败，可能导致问题
+}
+// 场景3：忽略指针返回值检查
+void UseResource() {
+    Resource* res = CreateResource();  // 可能返回nullptr
+    res->DoSomething();  // 未检查res是否为nullptr
+}
+// 场景4：直接调用忽略返回值
+void Execute() {
+    DoSomething();  // 返回ErrorCode但被忽略
+    ContinueProcess();  // 如果DoSomething失败，继续执行是危险的
+}
+// 场景5：系统调用返回值未检查
+void WriteToFile(int fd, const char* data, size_t size) {
+    write(fd, data, size);  // 错误：write可能失败，返回值被忽略
+    // 文件可能未成功写入，但代码继续执行
+}
+// 场景6：第三方库API返回值未检查
+void DecodeData(const char* input) {
+    Data decoded;
+    int ret = Decoder_Decode(input, &decoded);  // 返回错误码但被忽略
+    ProcessData(decoded);  // 错误：如果解码失败，decoded可能未初始化
+}
+// 场景7：内存分配API返回值未检查
+void AllocateBuffer() {
+    void* buffer;
+    int ret = AllocateMemory(1024, &buffer);  // 返回错误码但被忽略
+    memcpy(buffer, source, 1024);  // 错误：如果分配失败，buffer为nullptr
+}
+// 场景8：文件操作API返回值未检查
+void ReadConfig() {
+    Config config;
+    bool success = LoadConfigFromFile("config.txt", &config);  // 返回值被忽略
+    UseConfig(config);  // 错误：如果加载失败，config未初始化
+}
+```
+### ✅ 修复方案
+```cpp
+// 修复场景1：校验bool返回值
+void ProcessFile(const std::string& path) {
+    bool success = ValidatePath(path);
+    if (!success) {
+        LOGE("ValidatePath failed: %s", path.c_str());
+        return;
+    }
+    OpenFile(path);
+}
+// 修复场景2：校验错误码返回值
+void HandleData(Data* data) {
+    int ret = InitializeData(data);
+    if (ret != ERR_SUCCESS) {
+        LOGE("InitializeData failed: %d", ret);
+        return;
+    }
+    ProcessData(data);
+}
+// 修复场景3：校验指针返回值
+void UseResource() {
+    Resource* res = CreateResource();
+    if (res == nullptr) {
+        LOGE("CreateResource failed");
+        return;
+    }
+    res->DoSomething();
+}
+// 修复场景4：直接调用后立即校验
+void Execute() {
+    ErrorCode err = DoSomething();
+    if (err != ErrorCode::SUCCESS) {
+        LOGE("DoSomething failed: %d", static_cast<int>(err));
+        return;
+    }
+    ContinueProcess();
+}
+// 修复场景5：系统调用返回值检查
+void WriteToFile(int fd, const char* data, size_t size) {
+    ssize_t written = write(fd, data, size);
+    if (written < 0) {  // 正确：检查write返回值
+        LOGE("write failed: %d", errno);
+        return;
+    }
+    if (static_cast<size_t>(written) != size) {  // 正确：检查写入字节数
+        LOGE("partial write: %zd of %zu", written, size);
+    }
+}
+// 修复场景6：第三方库API返回值检查
+void DecodeData(const char* input) {
+    Data decoded;
+    int ret = Decoder_Decode(input, &decoded);
+    if (ret != DECODER_SUCCESS) {  // 正确：检查解码返回值
+        LOGE("Decoder_Decode failed: %d", ret);
+        return;
+    }
+    ProcessData(decoded);  // 安全：解码成功，decoded已初始化
+}
+// 修复场景7：内存分配API返回值检查
+void AllocateBuffer() {
+    void* buffer;
+    int ret = AllocateMemory(1024, &buffer);
+    if (ret != ALLOC_SUCCESS || buffer == nullptr) {  // 正确：检查返回值和输出参数
+        LOGE("AllocateMemory failed: %d", ret);
+        return;
+    }
+    memcpy(buffer, source, 1024);  // 安全：分配成功
+}
+// 修复场景8：文件操作API返回值检查
+void ReadConfig() {
+    Config config;
+    bool success = LoadConfigFromFile("config.txt", &config);
+    if (!success) {  // 正确：检查加载返回值
+        LOGE("LoadConfigFromFile failed");
+        return;
+    }
+    UseConfig(config);  // 安全：加载成功，config已初始化
+}
+// 修复场景9：复杂链式调用每步校验
+void ConnectToService() {
+    auto* manager = SystemManager::GetInstance();
+    if (manager == nullptr) {  // 第1步：校验GetInstance
+        LOGE("SystemManager::GetInstance failed");
+        return;
+    }
+    auto* service = manager->GetService();
+    if (service == nullptr) {  // 第2步：校验GetService
+        LOGE("GetService failed");
+        return;
+    }
+    auto conn = service->CreateConnection();
+    if (!conn) {  // 第3步：校验CreateConnection
+        LOGE("CreateConnection failed");
+        return;
+    }
+    UseConnection(conn);
+}
+// 修复场景10：智能指针返回值检查
+void ProcessImageData() {
+    std::shared_ptr<ImageData> img = LoadImageData("test.png");
+    if (img == nullptr || !img) {  // 正确：检查智能指针
+        LOGE("LoadImageData failed");
+        return;
+    }
+    ProcessImage(*img);  // 安全：img已验证有效
+}
+// 修复场景11：C++17结构化绑定校验
+void SetupConnection() {
+    auto [conn, status] = CreateConnectionWithStatus();
+    if (status != ConnectionStatus::SUCCESS) {  // 正确：校验结构化绑定的状态部分
+        LOGE("CreateConnection failed with status: %d", static_cast<int>(status));
+        return;
+    }
+    if (!conn) {  // 正确：校验连接对象部分
+        LOGE("Connection object is null");
+        return;
+    }
+    UseConnection(conn);  // 安全：conn和status都已验证
+}
+```
+## 检测范围
+检查以下需要校验的返回值：
+- `bool` 类型返回值
+- `int/ErrorCode` 类型返回值（表示错误码）
+- 指针类型返回值（可能返回nullptr）
+- 返回值被赋值但未使用的变量
+- 直接调用函数返回值被忽略的情况
+- 系统调用返回值（write、read、open等）
+- 第三方库API返回值
+- 输出参数初始化状态（API调用失败时输出参数可能未初始化）
+## 检测要点
+1. **确认函数有返回值**：必须先确定函数确实有返回值（非void类型），对返回void的函数不应检测返回值校验
+   - 通过函数声明/定义确定返回值类型
+   - 若找不到函数定义，应参考同仓其余代码引用相同函数的写法来判断
+2. 识别函数返回值类型（bool、int、ErrorCode、指针等，不包括void）
+3. 检查返回值变量是否在后续代码中被使用
+4. 检查直接函数调用时返回值是否被忽略
+5. 检查API调用后是否在使用输出参数前校验返回值
+6. 排除明确标记为忽略返回值的情况（如(void)cast）
+### 复杂链式调用检测
+对于链式调用，每一步都需要校验返回值：
+```cpp
+// ❌ 错误：链式调用中间步骤未校验
+auto conn = SystemManager::GetInstance()->GetService()->CreateConnection();
+// 任何一步失败都会导致后续空指针访问
+// ✅ 正确：每步校验
+auto* manager = SystemManager::GetInstance();
+if (!manager) return;
+auto* service = manager->GetService();
+if (!service) return;
+auto conn = service->CreateConnection();
+if (!conn) return;
+```
+### 智能指针返回值检测
+智能指针（std::shared_ptr、std::unique_ptr）返回值同样需要校验：
+- 使用 `if (ptr == nullptr)` 或 `if (!ptr)` 检查
+- 使用 `if (ptr)` 检查有效性（隐式bool转换）
+- 注意：`if (!ptr)` 利用了智能指针的bool转换操作符
+### C++17结构化绑定检测
+结构化绑定（`auto [a, b] = func()`）需要校验其中的状态/错误部分：
+```cpp
+auto [result, error] = PerformOperation();
+if (error != ErrorCode::SUCCESS) {  // 校验错误状态部分
+    return;
+}
+UseResult(result);  // 安全：result已验证有效
+```
+## 风险流分析（RiskFlow）
+- **RISK_SOURCE**：函数返回值被忽略，错误状态未被发现
+- **RISK_TYPE**：返回值校验缺失导致逻辑缺陷，输出参数未初始化
+- **RISK_PATH**：错误未被发现，程序继续执行，使用非法状态、未初始化数据或无效资源
+- **IMPACT_POINT**：可能引发空指针访问、未初始化内存读写、资源泄漏、功能异常等严重问题
+## 影响分析（ImpactAnalysis）
+- **Trigger**：函数调用失败返回错误值，但被调用方忽略
+- **Propagation**：程序继续执行，使用未正确初始化的数据、未初始化的输出参数或无效资源
+- **Consequence**：空指针崩溃、未初始化内存读写、资源泄漏、数据损坏、功能异常
+- **Mitigation**：校验返回值，根据返回值决定后续处理逻辑，确保输出参数有效后再使用
+## 误报排除
+| 场景 | 识别特征 | 处理方式 |
+|------|----------|----------|
+| 故意忽略 | 有 (void) 强制转换 | 不报 |
+| NOPROTECT 标记 | 有 // NOPROTECT 注释 | 不报 |
+| 返回值用于条件 | 返回值在if条件中使用 | 不报 |
+| 返回值用于逻辑运算 | 返回值参与逻辑运算 | 不报 |
+| 输出型参数函数 | 函数名含Get/Create等 | 根据函数名判断 |
+| void返回值函数 | 函数返回值为void | 不报（不适用此规则） |
+| 函数定义未找到 | 无函数声明/定义 | 参考同仓其他调用处判断 |
+## 测试用例
+### 触发用例（应该报）
+```cpp
+// test_ExceptionHandling_003_trigger.cpp
+void trigger_bad_1() {
+    bool success = ValidateInput();  // 应该报：返回值未校验
+    ProcessData();
+}
+int trigger_bad_2() {
+    int ret = InitResource();  // 应该报：返回值未校验
+    return 0;
+}
+void trigger_bad_3() {
+    Resource* res = CreateResource();  // 应该报：指针未检查
+    res->Use();  // 可能空指针
+}
+void trigger_bad_4() {
+    DoSomething();  // 应该报：返回值被直接忽略
+}
+void trigger_bad_5(int fd, const char* data, size_t size) {
+    write(fd, data, size);  // 应该报：系统调用返回值被忽略
+    // 继续使用文件，但可能写入失败
+}
+void trigger_bad_6(const char* input) {
+    Data decoded;
+    int ret = Decoder_Decode(input, &decoded);  // 应该报：返回值未检查，使用未初始化输出参数
+    ProcessData(decoded);
+}
+```
+### 安全用例（不应该报）
+```cpp
+// test_ExceptionHandling_003_safe.cpp
+void safe_good_1() {
+    bool success = ValidateInput();
+    if (!success) {  // 正确：校验了返回值
+        LOGE("ValidateInput failed");
+        return;
+    }
+    ProcessData();
+}
+int safe_good_2() {
+    int ret = InitResource();
+    if (ret != ERR_SUCCESS) {  // 正确：校验了错误码
+        LOGE("InitResource failed: %d", ret);
+        return -1;
+    }
+    return 0;
+}
+void safe_good_3() {
+    (void)DoSomething();  // 正确：明确标记忽略返回值
+}
+// NOPROTECT 标记
+void noprotect_case() {
+    // NOPROTECT: 返回值不影响后续逻辑
+    int ret = MinorOperation();
+}
+void safe_good_6(int fd, const char* data, size_t size) {
+    ssize_t written = write(fd, data, size);
+    if (written < 0) {  // 正确：检查系统调用返回值
+        LOGE("write failed");
+        return;
+    }
+}
+void safe_good_7(const char* input) {
+    Data decoded;
+    int ret = Decoder_Decode(input, &decoded);
+    if (ret != DECODER_SUCCESS) {  // 正确：检查返回值后再使用输出参数
+        LOGE("decode failed");
+        return;
+    }
+    ProcessData(decoded);  // 安全：decoded已初始化
+}
+```

package/references/GraphicsStability/StabilityCodeReview_GraphicsStability_001.md ADDED Viewed

@@ -0,0 +1,258 @@
+---
+rule_id: "StabilityCodeReview_GraphicsStability_001"
+name: "VulkanCleanupHelper引用计数管理"
+category: "图形稳定性"
+severity: "HIGH"
+language: ["cpp", "c++"]
+author: "OH-Department7 Stability Team"
+---
+# VulkanCleanupHelper引用计数管理
+## 问题描述
+使用`MakeFromBackendTexture`或`BuildFromTexture`创建GPU资源时，应正确使用`NativeBufferUtils::VulkanCleanupHelper`管理VkImage的引用计数。首次传入`vulkanCleanupHelper`，后续传入`vulkanCleanupHelper->Ref()`，配合`NativeBufferUtils::DeleteVkImage`函数，确保底层VkImage的生命周期正确管理，避免GPU发生UAF问题或资源泄漏。
+注意：`DeleteVkImage`函数指针接收void*参数，内部调用`VulkanCleanupHelper::UnRef()`减少引用计数。`VulkanCleanupHelper`是引用计数管理类，通过Ref()/UnRef()机制维护VkImage的生命周期。
+## 检测示例
+### 错误示例
+```cpp
+// 错误示例1：首次和后续调用都传入vulkanCleanupHelper（引用计数错误）
+void CreateSurfaceFromTexture(
+    Drawing::GPUContext* gpuContext,
+    const Drawing::BackendTexture& backendTexture,
+    NativeBufferUtils::VulkanCleanupHelper* vulkanCleanupHelper)
+{
+    // 首次创建：正确传入vulkanCleanupHelper
+    auto surface1 = Drawing::Surface::MakeFromBackendTexture(
+        gpuContext, backendTexture.GetTextureInfo(), Drawing::TextureOrigin::TOP_LEFT,
+        1, Drawing::COLORTYPE_RGBA_8888, nullptr,
+        NativeBufferUtils::DeleteVkImage, vulkanCleanupHelper);
+    // 后续创建：错误！应该传入vulkanCleanupHelper->Ref()
+    auto surface2 = Drawing::Surface::MakeFromBackendTexture(
+        gpuContext, backendTexture.GetTextureInfo(), Drawing::TextureOrigin::TOP_LEFT,
+        1, Drawing::COLORTYPE_RGBA_8888, nullptr,
+        NativeBufferUtils::DeleteVkImage, vulkanCleanupHelper);  // 错误：引用计数管理不当
+    // 当surface1和surface2都销毁时，引用计数会出错
+}
+// 错误示例2：未传入VulkanCleanupHelper
+bool CreateImageFromTexture(
+    Drawing::GPUContext& gpuContext,
+    const Drawing::TextureInfo& textureInfo,
+    Drawing::VKTextureInfo* vkTextureInfo)
+{
+    auto image = std::make_shared<Drawing::Image>();
+    // 错误：未传入vulkanCleanupHelper管理VkImage生命周期
+    bool ret = image->BuildFromTexture(gpuContext, textureInfo,
+        Drawing::TextureOrigin::TOP_LEFT, Drawing::BitmapFormat(), nullptr);
+    // 缺少生命周期管理，VkImage可能泄漏或提前释放
+    return ret;
+}
+// 错误示例3：deleteFunc传入错误函数
+void WrongCleanupFunc(void* ptr) {
+    delete static_cast<int*>(ptr);  // 错误：不是调用UnRef()
+}
+std::shared_ptr<Drawing::Image> CreateImageWrong(
+    Drawing::GPUContext& gpuContext,
+    const Drawing::TextureInfo& textureInfo,
+    NativeBufferUtils::VulkanCleanupHelper* vulkanCleanupHelper)
+{
+    auto image = std::make_shared<Drawing::Image>();
+    // 错误：deleteFunc应传入NativeBufferUtils::DeleteVkImage
+    bool ret = image->BuildFromTexture(gpuContext, textureInfo,
+        Drawing::TextureOrigin::TOP_LEFT, Drawing::BitmapFormat(), nullptr,
+        WrongCleanupFunc, vulkanCleanupHelper);  // 错误函数
+    return image;
+}
+```
+### 正确示例
+```cpp
+// 正确示例1：正确使用VulkanCleanupHelper引用计数（参考源码RSCanvasDrawingRenderNodeDrawable::CreateGpuSurface）
+void CreateGpuSurface(
+    const Drawing::ImageInfo& imageInfo,
+    const std::shared_ptr<Drawing::GPUContext>& gpuContext,
+    bool& newVulkanCleanupHelper)
+{
+    auto vkTextureInfo = backendTexture_.GetTextureInfo().GetVKTextureInfo();
+    if (vkTextureInfo == nullptr || gpuContext == nullptr) {
+        return;
+    }
+    // 判断是否需要新建VulkanCleanupHelper
+    newVulkanCleanupHelper = vulkanCleanupHelper_ == nullptr;
+    if (newVulkanCleanupHelper) {
+        // 首次创建VulkanCleanupHelper
+        vulkanCleanupHelper_ = new NativeBufferUtils::VulkanCleanupHelper(
+            RsVulkanContext::GetSingleton(), vkTextureInfo, pid);
+    }
+    // 正确：首次传入vulkanCleanupHelper_，后续传入vulkanCleanupHelper_->Ref()
+    surface_ = Drawing::Surface::MakeFromBackendTexture(
+        gpuContext.get(), backendTexture_.GetTextureInfo(),
+        Drawing::TextureOrigin::TOP_LEFT, 1, Drawing::COLORTYPE_RGBA_8888,
+        imageInfo.GetColorSpace(),
+        NativeBufferUtils::DeleteVkImage,
+        newVulkanCleanupHelper ? vulkanCleanupHelper_ : vulkanCleanupHelper_->Ref());  // 正确
+    // 当有多个Surface共享同一VkImage时，引用计数正确增加
+}
+// 正确示例2：BuildFromTexture正确管理引用计数
+bool CreateImageFromTexture(
+    Drawing::GPUContext& gpuContext,
+    const Drawing::TextureInfo& textureInfo,
+    NativeBufferUtils::VulkanCleanupHelper* vulkanCleanupHelper,
+    bool isFirstTime)
+{
+    auto image = std::make_shared<Drawing::Image>();
+    Drawing::BitmapFormat bitmapFormat;
+    // 正确：首次传入vulkanCleanupHelper，后续传入vulkanCleanupHelper->Ref()
+    bool ret = image->BuildFromTexture(
+        gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+        bitmapFormat, nullptr,
+        NativeBufferUtils::DeleteVkImage,
+        isFirstTime ? vulkanCleanupHelper : vulkanCleanupHelper->Ref());  // 正确
+    if (!ret) {
+        RS_LOGE("BuildFromTexture failed");
+        NativeBufferUtils::DeleteVkImage(vulkanCleanupHelper);
+        return false;
+    }
+    return true;
+}
+// 正确示例3：清理失败时的资源释放
+void CleanupOnFailure(
+    Drawing::GPUContext& gpuContext,
+    NativeBufferUtils::VulkanCleanupHelper* vulkanCleanupHelper)
+{
+    auto image = std::make_shared<Drawing::Image>();
+    bool ret = image->BuildFromTexture(
+        gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+        bitmapFormat, nullptr,
+        NativeBufferUtils::DeleteVkImage,
+        vulkanCleanupHelper->Ref());
+    if (!ret) {
+        // 正确：失败时需要手动释放引用计数
+        NativeBufferUtils::DeleteVkImage(vulkanCleanupHelper);
+        RS_LOGE("BuildFromTexture failed, cleanupHelper released");
+    }
+}
+// 正确示例4：不需要清理时传入nullptr（资源由其他机制管理）
+// NOPROTECT: texture资源由NativeBuffer管理，不需要额外清理
+std::shared_ptr<Drawing::Surface> CreateSurfaceNoCleanup(
+    Drawing::GPUContext* gpuContext,
+    const Drawing::TextureInfo& textureInfo)
+{
+    // 正确：明确不需要清理时，传入nullptr（资源由其他地方管理）
+    auto surface = Drawing::Surface::MakeFromBackendTexture(
+        gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+        1, Drawing::COLORTYPE_RGBA_8888, nullptr, nullptr, nullptr);
+    return surface;
+}
+```
+## 风险流分析（RiskFlow）
+- **RISK_SOURCE**: VulkanCleanupHelper引用计数管理不当，首次和后续调用未正确使用Ref()
+- **RISK_TYPE**: 引用计数错误
+- **RISK_PATH**: 首次传入vulkanCleanupHelper后，后续未传入vulkanCleanupHelper->Ref() → 引用计数不一致 → VkImage生命周期管理失败 → UAF或资源泄漏
+- **IMPACT_POINT**: GPU UAF问题、GPU崩溃、渲染异常
+## 影响分析（ImpactAnalysis）
+- **Trigger**: MakeFromBackendTexture/BuildFromTexture调用时，后续调用未使用vulkanCleanupHelper->Ref()
+- **Propagation**: VkImage引用计数错误，资源提前释放或泄漏
+- **Consequence**: GPU释放后使用(UAF)、程序崩溃、渲染黑屏、内存泄漏
+- **Mitigation**: 首次传入vulkanCleanupHelper，后续传入vulkanCleanupHelper->Ref()，deleteFunc传入NativeBufferUtils::DeleteVkImage
+## 误报排除
+| 场景 | 识别特征 | 处理方式 |
+|------|----------|----------|
+| NOPROTECT 标记 | 有 // NOPROTECT 注释 | 不报 |
+| 正确使用Ref() | 存在 vulkanCleanupHelper->Ref() | 不报 |
+| 不需要清理 | deleteFunc和cleanupHelper都为nullptr，且有注释说明 | 不报 |
+| deleteFunc正确 | NativeBufferUtils::DeleteVkImage | 不报 |
+## 测试用例
+### 触发用例（应该报）
+```cpp
+// 错误：后续调用未使用vulkanCleanupHelper->Ref()
+void CreateSurfaceWrong(
+    Drawing::GPUContext* gpuContext,
+    NativeBufferUtils::VulkanCleanupHelper* vulkanCleanupHelper)
+{
+    // 首次创建正确
+    auto surface1 = Drawing::Surface::MakeFromBackendTexture(
+        gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+        1, Drawing::COLORTYPE_RGBA_8888, nullptr,
+        NativeBufferUtils::DeleteVkImage, vulkanCleanupHelper);
+    // 后续创建错误：应该传入vulkanCleanupHelper->Ref()
+    auto surface2 = Drawing::Surface::MakeFromBackendTexture(
+        gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+        1, Drawing::COLORTYPE_RGBA_8888, nullptr,
+        NativeBufferUtils::DeleteVkImage, vulkanCleanupHelper);  // 应该报
+}
+// 错误：deleteFunc传入错误函数
+auto surface = Drawing::Surface::MakeFromBackendTexture(
+    gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+    1, Drawing::COLORTYPE_RGBA_8888, nullptr,
+    WrongDeleteFunc, vulkanCleanupHelper);  // 应该报：deleteFunc错误
+```
+### 安全用例（不应该报）
+```cpp
+// 正确：后续调用使用vulkanCleanupHelper->Ref()
+void CreateSurfaceCorrect(
+    Drawing::GPUContext* gpuContext,
+    NativeBufferUtils::VulkanCleanupHelper* vulkanCleanupHelper)
+{
+    // 首次创建
+    auto surface1 = Drawing::Surface::MakeFromBackendTexture(
+        gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+        1, Drawing::COLORTYPE_RGBA_8888, nullptr,
+        NativeBufferUtils::DeleteVkImage, vulkanCleanupHelper);
+    // 后续创建正确：传入vulkanCleanupHelper->Ref()
+    auto surface2 = Drawing::Surface::MakeFromBackendTexture(
+        gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+        1, Drawing::COLORTYPE_RGBA_8888, nullptr,
+        NativeBufferUtils::DeleteVkImage, vulkanCleanupHelper->Ref());  // 不报
+}
+// 正确：明确不需要清理
+// NOPROTECT: texture资源由buffer管理，不需要额外清理
+auto surface = Drawing::Surface::MakeFromBackendTexture(
+    gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+    1, Drawing::COLORTYPE_RGBA_8888, nullptr, nullptr, nullptr);  // 不报
+// 正确：首次创建时使用三元运算符判断
+bool newVulkanCleanupHelper = vulkanCleanupHelper_ == nullptr;
+auto surface = Drawing::Surface::MakeFromBackendTexture(
+    gpuContext, textureInfo, Drawing::TextureOrigin::TOP_LEFT,
+    1, Drawing::COLORTYPE_RGBA_8888, nullptr,
+    NativeBufferUtils::DeleteVkImage,
+    newVulkanCleanupHelper ? vulkanCleanupHelper_ : vulkanCleanupHelper_->Ref());  // 不报
+```