Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
>
Инструменты статического анализа кода

Инструменты статического анализа кода

14 Апр 2020

Инструменты статического анализа предназначены для выявления дефектов в исходном коде программ. Само название говорит, что принцип их работы основан на статическом анализе кода.

Существует огромное количество инструментов статического анализа, созданных для различных языков программирования. С большим списком таких инструментов можно ознакомиться на сайте Wikipedia: List of tools for static code analysis. И существует ещё вот такой интересный список: Awesome Static Analysis.

Наша компания разрабатывает анализатор PVS-Studio, предназначенный для проверки кода на языках C, C++, C# и Java. Анализатор позиционируется как платное B2B решение, но имеется несколько вариантов бесплатных лицензий. Ещё несколько популярных инструментов для проверки кода на этих языках перечислено ниже.

С/С++

  • Cppcheck. Очень популярный бесплатный открытый проект. Изначально целью было полное отсутствие ложных срабатываний, но сейчас целью является их максимальное малое количество. Анализатор является универсальным и предназначен для анализа кода, написанного на C/C ++ во встроенных проектах и других, использующих различные языковые расширения. Однако анализатор не поддерживает все конструкции, описанные новыми стандартами языка C++. Анализ потока данных по большей части чувствителен к потоку и двунаправлен. Теоретически вы можете более или менее проверить свой код напрямую без настройки, однако на практике настройка анализа будет необходима. Ссылки: сайт, страница на сайте Wikipedia.
  • Clang Static Analyzer. Статический анализатор кода для языков C/C++/Objective-C, встроенный в компилятор Clang. Впрочем, во многих других компиляторах также есть хорошие встроенные анализаторы кода. Например, Visual Studio включает в себя поддержку статического анализа проектов Visual C++ (флаг компилятора /analyze). Популярность Clang Static Analyzer вызвана открытостью его кода и возможностью написания собственных расширений. Ссылки: сайт, страница на сайте Wikipedia, о проверке кода Clang с помощью PVS-Studio - 1, 2, 3, 4.
  • Clang-Tidy - отличается от диагностических возможностей Clang Static Analyzer тем, что Clang-Tidy - линтер, проверяющий соответствие кода стандартам кодирования. Подробнее о Clang-Tidy можно узнать на официальном сайте.
  • Frama-C. Анализатор программ на языке Си с открытым исходным кодом. Ссылки: сайт, страница на сайте Wikipedia.
  • Lint. Упоминается здесь, так как представляет историческую ценность. Этот инструмент можно назвать первым статическим анализатором кода для языка Си. Названия многих современных анализаторов образуются от слова "lint" (cpplint, PC-Lint, Splint, JSLint, Rpmlint, Puppet Lint, Pylint). Подробнее об инструменте можно узнать из статьи на Wikipedia.
  • Parasoft C/C++test. Широко известный и популярный анализатор кода. Имеется триал. Ссылки: сайт, страница на сайте Wikipedia.
  • PC-Lint. Весьма гибкий инструмент статического анализа. За гибкость анализа приходится платить большим количеством настроек в конфигурационных файлах. Можно попробовать в течение 30 дней для ознакомительных целей. Ссылки: сайт, страница на сайте Wikipedia.
  • Helix QAC. Статический анализатор для языков C, C++. Имеется возможность запросить пробную версию. Ссылки: сайт, страница на сайте Wikipedia.

C#

  • ReSharper. Не является статическим анализатором в классическом понимании, так как предоставляет мало сценариев использования. Плагин для Visual Studio, проводит статический анализ кода на языке C# и не только. Имеет 30-дневный триал. В 2020 году цена на него за месяц составляла $12.90 для индивидуального использования. Ссылки: сайт, страница на сайте Wikipedia.
  • FxCop. Бесплатный инструмент для статического анализа кода от компании Microsoft. Производит анализ байт-кода (CIL) на соответствие рекомендациям Microsoft по проектированию приложений. На данный момент проект мертв.
  • Roslyn Analyzers. Набор статических анализаторов кода для языков C# и Visual Basic на основе .Net Compiler Platform ("Roslyn"). Производит анализ исходного кода, в отличие от FxCop. В составе этого проекта также был произведен порт наиболее важных правил FxCop. Ссылки: сайт, GitHub.
  • Security Code Scan. Статический анализатор кода на основе .Net Compiler Platform ("Roslyn") для языков C# и Visual Basic для поиска паттернов ошибок, связанных с безопасностью приложений: SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), XML eXternal Entity Injection (XXE) и др. Производит анализ исходного кода. Ссылки: сайт, GitHub.
  • Roslynator. Набор статических анализаторов кода для языка C# на основе .Net Compiler Platform ("Roslyn"). Производит анализ исходного кода. Ссылка на GitHub.
  • CodeRush. Плагин для Visual Studio. Продукт коммерческий, но имеется пробная версия. Ссылки: сайт, страница на сайте Wikipedia.
  • Parasoft dotTEST. Набор инструментов для тестирования приложений .NET, включающий в себя статический анализатор кода. Работает как плагин для Visual Studio. Как и в предыдущем случае, продукт коммерческий, имеется пробная версия. Ссылки: сайт, страница на сайте Wikipedia.

Java

  • FindBugs. Наиболее известный бесплатный статический анализатор Java кода. Анализирует байт-код программы. На данный момент проект мертв. Ссылка на сайт.
  • SpotBugs. Стал преемником FindBugs. Проект с открытым исходным кодом. Ссылка на сайт.
  • IntelliJ IDEA. Среда разработки от компании JetBrains, содержащая набор инспекций кода, которые позволяют найти, подсветить и исправить аномалии в коде. Ссылки: сайт, список инспекций, страница на сайте Wikipedia.
  • SonarJava. Статический анализатор кода для языка Java для поиска "запахов" кода, ошибок и уязвимостей, разрабатываемый компанией SonarSource. Ссылка на сайт.

Несколько языков

  • Coverity. Считается одним из лучших на рынке статических анализаторов кода. Поддерживает программу по бесплатной проверке открытых приложений. Ссылки: сайт, страница на сайте Wikipedia.
  • Klocwork Insight. Один из лидеров рынка статических анализаторов кода. Ссылки: сайт, страница на сайте Wikipedia.
  • Checkmarx CxSuite. Статический анализатор для анализа кода на предмет наличия закладок и уязвимостей, позволяющий выявлять и устранять проблемы безопасности на уровне исходного кода. Поддерживает широкий спектр языков программирования: Java, C#, Visual Basic, C/C++, Ruby, JavaScript, Perl и др. Ссылка на сайт.

Помимо всего прочего, развивается тематика анализаторов, построенных на базе ML. Далее несколько примеров таких анализаторов:

  • DeepCode. Авторы этого швейцарского стартапа утверждают, что DeepCode способен обнаруживать такие уязвимости, как возможности для межсайтового скриптинга и SQL-инъекций, так как заложенные в него алгоритмы не просто анализируют код как набор символов, но пытаются понять смысл и цель работы написанной программы. Подробнее со стартапом можно ознакомиться на официальном сайте.
  • SapFix. Создан инженерами из Facebook для сокращения времени, затрачиваемого инженерами на отладку, а также ускорения процесса развертывания нового программного обеспечения. О нем можно прочесть по этой ссылке в Facebook.
  • Source{d}. Стартап, организованный в Испании. Официальный сайт, на момент написания этого текста, не подавал признаков жизни, поэтому для ознакомления оставим ссылку только на GitHub.
  • CodeGuru. Авторами CodeGuru являются инженеры из Amazon. Сильной стороной своего анализатора они считают помощь в поиске способов оптимизации производительности вашего кода. Ссылка на официальный сайт тут.
  • Infer. Статический анализатор для языков C/C++, Objective-C и Java, разработанный компанией Facebook. Имеет открытый исходный код. Ссылки: сайт, страница на сайте Wikipedia.

Однако несмотря на то, что нельзя отрицать пользу ML в сфере обнаружения ошибок, у таких анализаторов много недостатков. Заглядывая в будущее, нам кажется, что ML - лишь одна из технологий, которые будут помогать в борьбе с багами. Наше отношение к анализаторам на базе ML описано в статье "Использование машинного обучения в статическом анализе исходного кода программ".

Популярные статьи по теме
Обрабатывать ли в PVS-Studio вывод других инструментов?

Дата: 26 Май 2022

Автор: Андрей Карпов

Анализатор PVS-Studio умеет "схлопывать" повторяющиеся предупреждения. Предоставляет возможность задать baseline, что позволяет легко внедрять статический анализ в legacy-проекты. Стоит ли предостави…
15000 ошибок в открытых проектах

Дата: 24 Май 2022

Автор: Андрей Карпов

Количество багов в нашей коллекции перевалило за отметку 15000. Именно такое количество ошибок обнаружила команда PVS-Studio в различных открытых проектах. Особенно интересно, что это всего лишь побо…
Комментарии в коде как вид искусства

Дата: 04 Май 2022

Автор: Сергей Хренов

Приветствую всех программистов, а также сочувствующих. Кто из нас хотя бы раз в жизни не оставлял комментарии в коде? Был ли это ваш код, а может, чужой? Что за комментарии вы написали: полезные или …
Visual Studio 2022 стильно и свежо. История о её поддержке в PVS-Studio

Дата: 15 Фев 2022

Автор: Николай Миронов

Кажется, анонс Visual Studio 2022 был только недавно, и вот она уже вышла. Это означало ровно одно – поддержать данную IDE нужно в ближайшем релизе PVS-Studio. О том, с какими сложностями пришлось ст…
Лучшие срабатывания статического анализатора

Дата: 29 Окт 2021

Автор: Максим Звягинцев

У всех, кто запускал статический анализатор в первый раз на большом проекте, был небольшой шок по поводу сотен, тысяч или даже десятков тысяч предупреждений. Как-то грустно становится после такого. Т…

Комментарии (0)

Следующие комментарии
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять