静态代码分析,或静态分析,是一种软件验证的活动,分析了的质量,可靠性和安全性的源代码,而不执行该代码。使用静态分析,可以识别缺陷和安全漏洞会危及你的应用程序的安全性和安全性。静态分析可以衡量和跟踪软件质量度量无需编写测试用例或插装代码的开销成本效益的方法。
为什么运行静态代码分析?
大多数的软件开发团队依靠动态测试技术来检测软件错误和运行时错误。动态测试要求工程师编写和执行大量的测试用例。由于动态测试并不详尽,它不能单独依靠对生产安全和安全的软件。
例如,利用这个非常简单的例子:
该速度功能对线14上的被零除的可能性,并会导致一个零星运行时错误。最终确定,除以零永远不会发生,你需要用变量的所有可能值测试功能输入。
静态代码分析的补充动态测试提供几个优点:
- 错误检测。您可以识别数百个相关的并发性,污染的数据,数据流,安全性,以及静态和动态内存错误的类。发现了一些错误几乎是不可能的动态测试来检测。
- 低成本。您可以轻松地自动静态代码分析,并且不承担编写测试用例,插装你的代码,或者执行程序的开销。
- 符合编码标准。您可以验证你的代码符合编码标准,如MISRA C®/ C ++或JSF ++,与安全标准,例如CWE,CERT C / C ++,和ISO / IEC 17961,或与网络安全准则。
- 证明不存在关键的运行时错误。静态代码分析工具能够证明该软件不会用批判的运行时错误。工具达到这个水平的复杂使用形式化方法该申请代码证明理论的科学基础。
谁应该运行静态代码分析,为什么?
- 软件开发人员。按照最佳做法,检查错误,并尽快编写代码的编码标准。错误检测开发过程的早期是调试和修复容易得多。
- 软件测试人员。之后应用程序代码已经被集成,建议运行综合代码深静态代码分析发现缺陷,证明不存在关键的运行时错误。
- 项目经理和质量保证的线索。静态代码分析工具产生的代码质量度量,可用于监视软件质量,项目状态,缺陷数量和质量趋势。
如何选择一个静态代码分析仪
有几个工具可以用来进行静态代码分析,如Polyspace®s manbetx 845产品。选择一个静态代码分析工具时,请考虑以下问题:
- 它是否支持你的行万博1manbetx业标准?
遵守标准是非常重要的,以尽量减少经济损失,人身伤害或财产损失和环境免受软件错误的风险。不同的行业定义自己的安全标准,例如ISO 26262的汽车,DO-178用于航空航天和IEC 62304对医疗器械。 - 如何可靠和可行的分析结果?
宽范围的技术可用于静态代码分析,并且这些技术提供了不同程度的健全性和结果的精度的。例如,抽象解释是被认为无害,因为它从来没有产生假阴性形式化方法。 - 该工具是否为修正错误的见解和指导?
往往是不够的工具,只是检测程序错误。开发者需要的详细信息通过代码的结构中导航并发现了错误的根本原因。如呼叫层次,变量值,上下文敏感的帮助和建议的修复信息提高解决复杂问题的能力。 - 该工具是否提供协作评论?
一些静态代码分析工具软件开发中轻松地共享分析结果和质量指标的团队 - 例如,通过在线平台提供的功能。此功能授权的团队来执行协作审查,分流,化解缺陷。 - 该工具可与现有的软件开发流程的整合?
一个有效的静态代码分析工具必须能够与不同的软件开发过程,包括如新流程整合的能力持续集成和持续交付(CI / CD)的DevOps和DevSecOps。该工具应提供丰富的API和插件与软件开发工具整合中,如IDE(例如Eclipse™的微软®视觉工作室®代码),CI工具(例如,詹金斯™和竹®),以及错误跟踪工具(例如,吉拉和管理平台)。 - 将在公共云和私有云的工具的工作原理?
在公共云和私有云基础设施,如亚马逊的软件开发®AWS®和微软Azure®人气迅速获得。云为开发团队提供敏捷性,可扩展性,高可用性和全局访问。在评估静态分析工具,重要的是要确保工具是云就绪,也就是说,它们可以部署,并与云平台的软件开发流程集成。学到更多。
为什么选择Polyspace产品?s manbetx 845
Polyspace®静态代码分析产品使用形式化方法来证明一切可s manbetx 845能的控制流和数据流在缺乏关键的运行时错误。该Polyspace产品系列包括:
- Polyspace Bug的搜索s manbetx 845产品检查C / C ++源代码的编码标准违规行为,发现几个类型的错误,检测安全漏洞,并计算质量指标,如代码复杂度度量。
- Polyspace代码证明器s manbetx 845产品使用正规的方法来证明不存在在C / C ++源码关键运行时错误的,而不执行的代码。
- Polyspace产s manbetx 845品的阿达证明在阿达源代码的情况下运行时错误的。
Polyspace产s manbetx 845品提供的优势,并在前面的章节中列出的功能,如错误检测,符合编码标准,并证明不存在关键的运行时错误的能力。例如,对于代码段如上所示,Polyspace代码证明者可以分析对所有可能的输入的函数的速度所有代码路径由零来证明分裂不会发生。它这样做是不执行的代码。结果表明,在绿线14师的标志,表明该操作对所有输入安全的,不会导致运行时错误。
司被零使用Polyspace代码证明器检查。
