Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
GBP
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

** На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
>
Инструменты статического анализа кода

Инструменты статического анализа кода

14 Апр 2020

Инструменты статического анализа предназначены для выявления дефектов в исходном коде программ. Само название говорит, что принцип их работы основан на статическом анализе кода.

Существует огромное количество инструментов статического анализа, созданных для различных языков программирования. С большим списком таких инструментов можно ознакомиться на сайте Wikipedia: List of tools for static code analysis. И существует ещё вот такой интересный список: Awesome Static Analysis.

Наша компания разрабатывает анализатор PVS-Studio, предназначенный для проверки кода на языках C, C++, C# и Java. Анализатор позиционируется как платное B2B решение, но имеется несколько вариантов бесплатных лицензий. Ещё несколько популярных инструментов для проверки кода на этих языках перечислено ниже.

С/С++

  • Cppcheck. Очень популярный бесплатный открытый проект. Изначально целью было полное отсутствие ложных срабатываний, но сейчас целью является их максимальное малое количество. Анализатор является универсальным и предназначен для анализа кода, написанного на C/C ++ во встроенных проектах и других, использующих различные языковые расширения. Однако анализатор не поддерживает все конструкции, описанные новыми стандартами языка C++. Анализ потока данных по большей части чувствителен к потоку и двунаправлен. Теоретически вы можете более или менее проверить свой код напрямую без настройки, однако на практике настройка анализа будет необходима. Ссылки: сайт, страница на сайте Wikipedia.
  • Clang Static Analyzer. Статический анализатор кода для языков C/C++/Objective-C, встроенный в компилятор Clang. Впрочем, во многих других компиляторах также есть хорошие встроенные анализаторы кода. Например, Visual Studio включает в себя поддержку статического анализа проектов Visual C++ (флаг компилятора /analyze). Популярность Clang Static Analyzer вызвана открытостью его кода и возможностью написания собственных расширений. Ссылки: сайт, страница на сайте Wikipedia, о проверке кода Clang с помощью PVS-Studio - 1, 2, 3, 4.
  • Clang-Tidy - отличается от диагностических возможностей Clang Static Analyzer тем, что Clang-Tidy - линтер, проверяющий соответствие кода стандартам кодирования. Подробнее о Clang-Tidy можно узнать на официальном сайте.
  • Frama-C. Анализатор программ на языке Си с открытым исходным кодом. Ссылки: сайт, страница на сайте Wikipedia.
  • Lint. Упоминается здесь, так как представляет историческую ценность. Этот инструмент можно назвать первым статическим анализатором кода для языка Си. Названия многих современных анализаторов образуются от слова "lint" (cpplint, PC-Lint, Splint, JSLint, Rpmlint, Puppet Lint, Pylint). Подробнее об инструменте можно узнать из статьи на Wikipedia.
  • Parasoft C/C++test. Широко известный и популярный анализатор кода. Имеется триал. Ссылки: сайт, страница на сайте Wikipedia.
  • PC-Lint. Весьма гибкий инструмент статического анализа. За гибкость анализа приходится платить большим количеством настроек в конфигурационных файлах. Можно попробовать в течение 30 дней для ознакомительных целей. Ссылки: сайт, страница на сайте Wikipedia.
  • Helix QAC. Статический анализатор для языков C, C++. Имеется возможность запросить пробную версию. Ссылки: сайт, страница на сайте Wikipedia.

C#

  • ReSharper. Не является статическим анализатором в классическом понимании, так как предоставляет мало сценариев использования. Плагин для Visual Studio, проводит статический анализ кода на языке C# и не только. Имеет 30-дневный триал. В 2020 году цена на него за месяц составляла $12.90 для индивидуального использования. Ссылки: сайт, страница на сайте Wikipedia.
  • FxCop. Бесплатный инструмент для статического анализа кода от компании Microsoft. Производит анализ байт-кода (CIL) на соответствие рекомендациям Microsoft по проектированию приложений. На данный момент проект мертв.
  • Roslyn Analyzers. Набор статических анализаторов кода для языков C# и Visual Basic на основе .Net Compiler Platform ("Roslyn"). Производит анализ исходного кода, в отличие от FxCop. В составе этого проекта также был произведен порт наиболее важных правил FxCop. Ссылки: сайт, GitHub.
  • Security Code Scan. Статический анализатор кода на основе .Net Compiler Platform ("Roslyn") для языков C# и Visual Basic для поиска паттернов ошибок, связанных с безопасностью приложений: SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), XML eXternal Entity Injection (XXE) и др. Производит анализ исходного кода. Ссылки: сайт, GitHub.
  • Roslynator. Набор статических анализаторов кода для языка C# на основе .Net Compiler Platform ("Roslyn"). Производит анализ исходного кода. Ссылка на GitHub.
  • CodeRush. Плагин для Visual Studio. Продукт коммерческий, но имеется пробная версия. Ссылки: сайт, страница на сайте Wikipedia.
  • Parasoft dotTEST. Набор инструментов для тестирования приложений .NET, включающий в себя статический анализатор кода. Работает как плагин для Visual Studio. Как и в предыдущем случае, продукт коммерческий, имеется пробная версия. Ссылки: сайт, страница на сайте Wikipedia.

Java

  • FindBugs. Наиболее известный бесплатный статический анализатор Java кода. Анализирует байт-код программы. На данный момент проект мертв. Ссылка на сайт.
  • SpotBugs. Стал преемником FindBugs. Проект с открытым исходным кодом. Ссылка на сайт.
  • IntelliJ IDEA. Среда разработки от компании JetBrains, содержащая набор инспекций кода, которые позволяют найти, подсветить и исправить аномалии в коде. Ссылки: сайт, список инспекций, страница на сайте Wikipedia.
  • SonarJava. Статический анализатор кода для языка Java для поиска "запахов" кода, ошибок и уязвимостей, разрабатываемый компанией SonarSource. Ссылка на сайт.

Несколько языков

  • Coverity. Считается одним из лучших на рынке статических анализаторов кода. Поддерживает программу по бесплатной проверке открытых приложений. Ссылки: сайт, страница на сайте Wikipedia.
  • Klocwork Insight. Один из лидеров рынка статических анализаторов кода. Ссылки: сайт, страница на сайте Wikipedia.
  • Checkmarx CxSuite. Статический анализатор для анализа кода на предмет наличия закладок и уязвимостей, позволяющий выявлять и устранять проблемы безопасности на уровне исходного кода. Поддерживает широкий спектр языков программирования: Java, C#, Visual Basic, C/C++, Ruby, JavaScript, Perl и др. Ссылка на сайт.

Помимо всего прочего, развивается тематика анализаторов, построенных на базе ML. Далее несколько примеров таких анализаторов:

  • DeepCode. Авторы этого швейцарского стартапа утверждают, что DeepCode способен обнаруживать такие уязвимости, как возможности для межсайтового скриптинга и SQL-инъекций, так как заложенные в него алгоритмы не просто анализируют код как набор символов, но пытаются понять смысл и цель работы написанной программы. Подробнее со стартапом можно ознакомиться на официальном сайте.
  • SapFix. Создан инженерами из Facebook для сокращения времени, затрачиваемого инженерами на отладку, а также ускорения процесса развертывания нового программного обеспечения. О нем можно прочесть по этой ссылке в Facebook.
  • Source{d}. Стартап, организованный в Испании. Официальный сайт, на момент написания этого текста, не подавал признаков жизни, поэтому для ознакомления оставим ссылку только на GitHub.
  • CodeGuru. Авторами CodeGuru являются инженеры из Amazon. Сильной стороной своего анализатора они считают помощь в поиске способов оптимизации производительности вашего кода. Ссылка на официальный сайт тут.
  • Infer. Статический анализатор для языков C/C++, Objective-C и Java, разработанный компанией Facebook. Имеет открытый исходный код. Ссылки: сайт, страница на сайте Wikipedia.

Однако несмотря на то, что нельзя отрицать пользу ML в сфере обнаружения ошибок, у таких анализаторов много недостатков. Заглядывая в будущее, нам кажется, что ML - лишь одна из технологий, которые будут помогать в борьбе с багами. Наше отношение к анализаторам на базе ML описано в статье "Использование машинного обучения в статическом анализе исходного кода программ".

Популярные статьи по теме
Статический анализ как часть процесса разработки Unreal Engine

Дата: 27 Июн 2017

Автор: Андрей Карпов

Проект Unreal Engine развивается - добавляется новый код и изменятся уже написанный. Неизбежное следствие развития проекта - появление в коде новых ошибок, которые желательно выявлять как можно раньш…
Любите статический анализ кода!

Дата: 16 Окт 2017

Автор: Андрей Карпов

Я в шоке от возможностей статического анализа кода, хотя сам участвую в разработке инструмента PVS-Studio. На днях я был искренне удивлён тому, что анализатор оказался умнее и внимательнее меня.
Как и почему статические анализаторы борются с ложными срабатываниями

Дата: 20 Мар 2017

Автор: Андрей Карпов

В своей предыдущей статье я писал, что мне не нравится подход, при котором статические анализаторы кода оцениваются с помощью синтетических тестов. В статье приводился пример, воспринимаемый анализат…
Бесплатный PVS-Studio для тех, кто развивает открытые проекты

Дата: 22 Дек 2018

Автор: Андрей Карпов

В канун празднования нового 2019 года команда PVS-Studio решила сделать приятный подарок всем контрибьюторам open-source проектов, хостящихся на GitHub, GitLab или Bitbucket. Им предоставляется возмо…
Эффект последней строки

Дата: 31 Май 2014

Автор: Андрей Карпов

Я изучил множество ошибок, возникающих в результате копирования кода. И утверждаю, что чаще всего ошибки допускают в последнем фрагменте однотипного кода. Ранее я не встречал в книгах описания этого …
Характеристики анализатора PVS-Studio на примере EFL Core Libraries, 10-15% ложных срабатываний

Дата: 31 Июл 2017

Автор: Андрей Карпов

После большой статьи про проверку операционной системы Tizen мне было задано много вопросов о проценте ложных срабатываний и о плотности ошибок (сколько ошибок PVS-Studio выявляет на 1000 строк кода)…
Как PVS-Studio оказался внимательнее, чем три с половиной программиста

Дата: 22 Окт 2018

Автор: Андрей Карпов

PVS-Studio, как и другие статические анализаторы кода, часто выдаёт ложные срабатывания. Но не стоит спешить считать странные срабатывания ложными. Это короткая история о том, как PVS-Studio вновь ок…
Технологии, используемые в анализаторе кода PVS-Studio для поиска ошибок и потенциальных уязвимостей

Дата: 21 Ноя 2018

Автор: Андрей Карпов

Краткое описание технологий, используемых в инструменте PVS-Studio, которые позволяют эффективно обнаруживать большое количество паттернов ошибок и потенциальных уязвимостей. Статья описывает реализа…
PVS-Studio ROI

Дата: 30 Янв 2019

Автор: Андрей Карпов

Время от времени нам задают вопрос, какую пользу в денежном эквиваленте получит компания от использования анализатора PVS-Studio. Мы решили оформить ответ в виде статьи и привести таблицы, которые по…
Главный вопрос программирования, рефакторинга и всего такого

Дата: 14 Апр 2016

Автор: Андрей Карпов

Вы угадали, ответ - "42". Здесь приводится 42 рекомендации по программированию, которые помогут избежать множества ошибок, сэкономить время и нервы. Автором рекомендаций выступает Андрей Карпов - тех…

Комментарии (0)

Следующие комментарии

На сайте установлена reCAPTCHA и применяются
Политика конфиденциальности и Условия использования Google.
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять