Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
Философия статического анализа кода: у …

Философия статического анализа кода: у нас 100 программистов, анализатор нашел мало ошибок, он бесполезен?

16 Окт 2017

Люди очень часто неправильно думают про статический анализ кода.

Часто можно встретить такое мнение, выраженное в следующем абзаце:

У нас большой проект. В нем работает несколько десятков (сотен) программистов. То есть тот самый, про который вы пишите, что нужен статический анализ. Я скачал анализатор кода, выполнил проверку и нашел очень мало ошибок. Очевидно, что анализатор кода просто бесполезен!

Увы и ах, но, похоже, способ продвижения статического анализа кода через идею проверки open source проектов играет с людьми злую шутку. Люди ОЖИДАЮТ, что запустив анализатор на случайном проекте, они ОБЯЗАТЕЛЬНО найдут кучу ошибок. Конечно же это не так, и вот почему.

Предположим, у нас есть проект, в котором участвует 10 программистов, 3 тестировщика и 1 руководитель проекта. Рассмотрим временной интервал в один месяц (21 рабочий день). Интервал выбран произвольно и на самом деле не важен.

Пусть в первый рабочий день программисты писали код и внесли в него 5 ошибок. На следующий день тестировщики нашли эти 5 ошибок и отписали программистам. На третий день программисты исправили 5 ошибок. Вот у нас образовалась такая "тройка" или когорта: один день делаем ошибки, второй день находим, в третий – исправляем.

Очевидно, что эта когорта движется во времени, и каждый день ошибки добавляются, обнаруживаются и исправляются. Хотя в каждый момент времени активно не так уж много ошибок, но "окно" движется и общее количество проделанной работы по выявлению и исправлению ошибок довольно существенно. В последний день 21-дневного рабочего цикла руководителю проекта это надоело, он наорал на всех и все ошибки были исправлены. В результате, в конце месяца, в проекте 0 ошибок. Это, конечно, продлится недолго, но начальник рад красивому итогу месяца.

Предположим, в этот 21-й день кто-то из программистов скачал анализатор кода, выполнил проверку, получил 0 ошибок по делу (и парочку бестолковых срабатываний) и делает, на первый взгляд, очевидный, но неверный вывод: анализаторы кода просто не работают и не нужны!

Теперь рассмотрим движение нашей когорты в случае, если анализатор кода используется регулярно.

В первый день программисты также допустили 5 ошибок. Но благодаря автоматическому анализу кода, 3 ошибки были сразу найдены и исправлены ещё на этапе кодирования. Поэтому, на следующий день, тестировщики найдут всего 2 ошибки. На третий день программистам будет намного меньше работы по правкам, так как часть ошибок была исправлена ещё в первый день. Получается, что анализатор сократил количество работы по устранению ошибок более чем в два раза, что существенно ускоряет процесс разработки проекта в целом.

Конечно, числа выше были приведены условно. Самое главное, что можно сделать правильный важный вывод. Статический анализ наиболее полезен не как разовое действие, а как регулярный процесс.

Популярные статьи по теме
Эволюция PVS-Studio: анализ потока данных для связанных переменных

Дата: 28 Апр 2022

Автор: Никита Липилин

Связанные переменные – одна из главных проблем статического анализа. Данная статья посвящена разбору этой темы и рассказу о том, как разработчики PVS-Studio сражаются с ложными срабатываниями, появив…
Место SAST в Secure SDLC: 3 причины внедрения в DevSecOps-пайплайн

Дата: 19 Апр 2022

Автор: Сергей Васильев

Репутационные и денежные риски, связанные с уязвимостями, огромны. На фоне этого понятен повышенный интерес к безопасности и стремление выстроить цикл безопасной разработки (SSDLC). Сегодня мы погово…
Технологии статического анализа кода PVS-Studio

Дата: 11 Янв 2022

Автор: Андрей Карпов, Павел Еремеев

PVS-Studio предоставляет статические анализаторы для языков C, C++, C# и Java на платформах Windows, Linux и macOS. Несмотря на некоторые различия, накладываемые особенностями отдельных языков, в цел…
Ускоряем сборку и анализ при помощи Incredibuild

Дата: 17 Май 2021

Автор: Максим Звягинцев

"Да сколько ты ещё будешь собирать?" – фраза, которую каждый разработчик произносил хотя бы раз посреди ночи. Да, сборка бывает долгой и от этого никуда не деться. Нельзя же просто так взять и распар…
GTK: как выглядит первый запуск анализатора в цифрах

Дата: 04 Янв 2021

Автор: Святослав Размыслов

Внедрение статического анализатора в проект для некоторых людей выглядит непреодолимой преградой. Почему-то очень распространено мнение, что объём выданных результатов анализа при первом запуске наст…

Комментарии (0)

Следующие комментарии
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять