發(fā)布時間:2020-06-18
靜態(tài)代碼分析是指無需運行被測代碼,僅通過分析或檢查源程序的語法、結(jié)構(gòu)、過程、接口等來檢查程序的正確性,找出代碼隱藏的錯誤和缺陷,如參數(shù)不匹配,有歧義的嵌套語句,錯誤的遞歸,非法計算,可能出現(xiàn)的空指針引用等等。
在軟件開發(fā)過程中,靜態(tài)代碼分析往往先于動態(tài)測試之前進行,同時也可以作為制定動態(tài)測試用例的參考。統(tǒng)計證明,在整個軟件開發(fā)生命周期中,30% 至 70% 的代碼邏輯設(shè)計和編碼缺陷是可以通過靜態(tài)代碼分析來發(fā)現(xiàn)和修復(fù)的。
但是,由于靜態(tài)代碼分析往往要求大量的時間消耗和相關(guān)知識的積累,因此對于軟件開發(fā)團隊來說,使用靜態(tài)代碼分析工具自動化執(zhí)行代碼檢查和分析,能 夠極大地提高軟件可靠性并節(jié)省軟件開發(fā)和測試成本。
靜態(tài)分析優(yōu)勢
幫助程序開發(fā)人員自動執(zhí)行靜態(tài)代碼分析,快速定位代碼隱藏錯誤和缺陷。
幫助代碼設(shè)計人員更專注于分析和解決代碼設(shè)計缺陷。
顯著減少在代碼逐行檢查上花費的時間,提高軟件可靠性并節(jié)省軟件開發(fā)和測試成本。
靜態(tài)分析主要技術(shù)
缺陷模式匹配:缺陷模式匹配事先從代碼分析經(jīng)驗中收集足夠多的共性缺陷模式,將待分析代碼與已有的共性缺陷模式進行模式匹配,從而完成軟件的安全分析。這種方式的優(yōu)點是簡單方便,但是要求內(nèi)置足夠多缺陷模式,且容易產(chǎn)生誤報。
類型推斷:類型推斷技術(shù)是指通過對代碼中運算對象類型進行推理,從而保證代碼中每條語句都針對正確的類型執(zhí)行。這種技術(shù)首先將預(yù)定義一套類型機制,包括類 型等價、類型包含等推理規(guī)則,而后基于這一規(guī)則進行推理計算。類型推斷可以檢查代碼中的類型錯誤,簡單,高效,適合代碼缺陷的快速檢測。
模型檢查:模型檢驗建立于有限狀態(tài)自動機的概念基礎(chǔ)之上,這一理論將被分析代碼抽象為一個自動機系統(tǒng),并且假設(shè)該系統(tǒng)是有限狀態(tài)的、或者是可以通過抽象歸 結(jié)為有限狀態(tài)。模型檢驗過程中,首先將被分析代碼中的每條語句產(chǎn)生的影響抽象為一個有限狀態(tài)自動機的一個狀態(tài),而后通過分析有限狀態(tài)機從而達到代碼分析的 目的。模型檢驗主要適合檢驗程序并發(fā)等時序特性,但是對于數(shù)據(jù)值域數(shù)據(jù)類型等方面作用較弱。
數(shù)據(jù)流分析:數(shù)據(jù)流分析也是一種軟件驗證技術(shù),這種技術(shù)通過收集代碼中引用到的變量信息,從而分析變量在程序中的賦值、引用以及傳遞等情況。對數(shù)據(jù)流進行 分析可以確定變量的定義以及在代碼中被引用的情況,同時還能夠檢查代碼數(shù)據(jù)流異常,如引用在前賦值在后、只賦值無引用等。數(shù)據(jù)流分析主要適合檢驗程序中的 數(shù)據(jù)域特性。
主流靜態(tài)代碼分析工具:FindBugs、PMD、CheckStyle、Sonar、CodeAnalyzer。
CodeAnalyzer(簡稱CA)是上海澤眾軟件科技有限公司自主研發(fā)的專業(yè)代碼質(zhì)量管理的代碼審查軟件,用于實現(xiàn)靜態(tài)分析、代碼走查、代碼規(guī)范檢查以及代碼潛在錯誤分析的白盒測試工具,它是一種脫離編譯器的代碼靜態(tài)分析軟件產(chǎn)品。
靜態(tài)代碼掃描工具對比分析:
電話咨詢,400-035-7887,安排專業(yè)技術(shù)售前給您解答(產(chǎn)品試用、技術(shù)交流、服務(wù)咨詢和商務(wù)報價)。
您的信息已成功提交!
我們的客服人員稍后會與您聯(lián)系