静态代码分析,或静态分析,是一种软件验证活动,它在不执行代码的情况下分析源代码的质量、可靠性和安全性。使用静态分析,您可以识别可能危及应用程序安全和安全性的缺陷和安全漏洞。静态分析可以是一种成本效益高的方法来度量和跟踪软件质量度量,而无需编写测试用例或插装代码。
为什么要运行静态代码分析?
大多数软件开发团队依赖于动态测试技术来检测软件中的错误和运行时错误。动态测试需要工程师编写和执行众多测试用例。由于动态测试并不穷,因此不能依赖它来生产安全和安全的软件。
例如,采取这个非常简单的案例:
这速度函数在第14行上有被0除法的可能,并可能导致零星的运行时错误。为了最终确定不会发生除以0的情况,您需要使用变量的所有可能值来测试函数输入。
静态代码分析补充了动态测试,提供了几个优点:
- 错误检测。您可以识别与并发性,受污染数据,数据流,安全性和静态和动态内存相关的数百类相关的错误。发现的一些错误几乎不可能使用动态测试来检测。
- 低成本。您可以轻松自动化静态代码分析,并且您不会产生编写测试用例的开销,从而刷新代码或执行程序。
- 遵循编码标准。您可以验证您的代码符合编码标准,如MISRA C®/ c++或JSF++,具有安全标准,如CWE, CERT C/ c++和ISO/IEC 17961,或具有网络安全准则。
- 证明没有关键的运行时间错误。静态代码分析工具可以证明软件不会因关键运行时错误而失败。实现这一级别的复杂性使用的工具正式的方法这适用于代码证明的理论科学基础。
谁应该运行静态代码分析,为什么?
- 软件开发人员。最佳实践建议在编写代码后立即检查错误和编码标准。在开发过程中早期检测到的错误更容易调试和修复。
- 软件测试人员。应用程序代码已集成后,建议在集成代码上运行深度静态代码分析以查找缺陷并证明缺少关键运行时错误。
- 项目经理和质量保证提供。静态代码分析工具产生代码质量指标,可用于监控软件质量,项目状态,缺陷数量和质量趋势。
如何选择一个静态代码分析器
您可以使用一些工具来执行静态代码分析,例如波尔盖斯®下载188bet金宝搏产品。选择静态代码分析工具时考虑以下问题:
- 它是否支持您的行金宝app业标准?
遵守标准对于从软件错误中最大限度地降低财务损失,身体损伤或对财产和环境损害的风险非常重要。不同的行业已经定义了自己的安全标准 - 例如,用于汽车的ISO 26262,用于航空航天的AUTO-178,以及用于医疗设备的IEC 62304。 - 分析结果的可靠性和可操作性如何?
广泛的技术可用于静态代码分析,这些技术提供不同程度的声音和结果精度。例如,抽象的解释是一种正式的方法,被认为是声音,因为它永远不会产生假阴性。 - 该工具是否为修复错误提供了见解和指导?
通常,工具仅仅检测bug是不够的。开发人员需要更多的信息来浏览代码结构并找到bug的根本原因。调用层次结构、变量值、上下文敏感帮助和建议修复等信息提高了解决复杂问题的能力。 - 该工具是否提供协作审查?
一些静态代码分析工具提供了在软件开发团队中轻松共享分析结果和质量度量的功能——例如,通过在线平台。这种能力使团队能够执行协作评审、分类和解决缺陷。 - 该工具可以与现有的软件开发流程集成吗?
有效的静态代码分析工具必须具有与不同的软件开发过程集成,包括较新的进程,例如持续整合和连续交货(CI/CD)、DevOps和DevSecOps。该工具应该提供丰富的API和插件来集成软件开发工具,如ide(例如Eclipse™和Microsoft)®视觉工作室®代码)、CI工具(例如Jenkins™和Bamboo®)和错误跟踪工具(例如,jira和redmine)。 - 工具是否会在公共和私有云上工作?
在公共和私有云基础设施(如Amazon)上开发软件®AWS.®和微软Azure®迅速越来越受欢迎。云提供开发团队敏捷性,可扩展性,高可用性和全球访问。在评估静态分析工具时,重要的是要确保工具是云准备的 - 也就是说,它们可以部署并与云平台上的软件开发过程集成。学到更多。
为什么选择Polyspace产品?下载188bet金宝搏
波尔盖斯®静态代码分析产品使用正式方法来证明在所有可下载188bet金宝搏能的控制流程和数据流下都没有关键的运行时误差。PolySpace产品系列包括:
- Polyspace错误发现者下载188bet金宝搏产品检查C / C ++源代码进行编码标准违规,查找多种类型的错误,检测安全漏洞,以及代码复杂度指标等计算质量指标。
- PolySpace代码箴言下载188bet金宝搏产品使用正式的方法来证明在C/ c++源代码中没有严重的运行时错误,而无需执行代码。
- ADA的PolySp下载188bet金宝搏ace产品证明Ada源代码中没有运行时错误。
Polyspace产下载188bet金宝搏品提供了前面几节中列出的优点和功能,例如错误检测、编码标准的遵从性,以及证明没有关键运行时错误的能力。例如,对于上面显示的代码片段,Polyspace code Prover可以针对所有可能的输入分析函数速度的所有代码路径,以证明不会发生除零。它在不执行代码的情况下完成此操作。结果显示第14行上的除法符号是绿色的,表明该操作对所有输入都是安全的,不会导致运行时错误。
使用PolySpace代码先驱逐零检查。
