Программный способ анализа качества ПО

Статический анализ кода — методика анализа качества программных продуктов, во время которого анализируемый продукт не запускается и не выполняется. Для такого анализа используется специализированное программное обеспечение, позволяющее обрабатывать ПО, написанное на полутора десятков разных языков программирования, выявлять в нем ошибки, рекомендовать корректное оформление кода, а также подсчитывать количество показателей, или метрик, обуславливающих качество программного обеспечения. По сути, этот метод является автоматизированным вариантом обзора кода, одного из самых эффективных, но при этом и самых дорогих методов обнаружения ошибок в программе.

Преимущества и недостатки статического анализа кода

Как и любая другая методика, статический анализ кода (читайте подробнее на http://www.a1qa.ru/services/security_testing/) обладает как достоинствами, так и недостатками. К числу первых можно несомненно отнести:

• выявление большого количества ошибок на среднем этапе конструирования ПО даже в тех фрагментах кода, которые невозможно протестировать другими методами;
• независимость от среды и компилятора, что дает возможность обнаруживать скрытые ошибки;
• быстрое обнаружение опечаток и дублирования символов.

Основными недостатками этого метода являются:

• невозможность или большое затруднение выявления ошибок, для обнаружения которых необходимо выполнить программу или ее часть;
• так называемые ложно-позитивные срабатывания — фрагменты правильного кода, тем не менее, вызывающие у анализатора подозрения.

Считается, что просматривание списка ложных срабатываний может рассеивать внимание программиста, что приводит к увеличению возможности пропустить серьезную ошибку.

Как мы используем статический анализ кода для тестирования безопасности

Используя статический анализ кода, можно значительно удешевить процесс выявления и последующего устранения ошибок в программном коде, в том числе и большого списка проблем безопасности. Это одна из причин того, что специалисты компании A1QA активно применяют эту методику для тестирования безопасности системы. Тем не менее, мы рассматриваем такой анализ только как составляющую часть общего подхода к процессу тестирования. Именно в сочетании с другими методами он дает наилучший результат, позволяя свести дефекты и недочеты программного кода к минимуму.