УДК 004.054

Роль статического анализа в обеспечении качества программного обеспечения

Матвеенко Елена Вадимовна – магистрант Балтийского государственного технического университета «ВОЕНМЕХ» им. Д.Ф. Устинова

Аннотация: В данной статье рассматривается роль статического анализа и его использование при обеспечении качества программного обеспечения. Оценка качества программного обеспечения с использованием статического анализа является неотъемлемой частью современного процесса разработки программного обеспечения и позволяет существенно улучшить его качество. Хотя эффективное внедрение статического анализа может сопровождаться рядом сложностей, он позволяет обнаружить ошибки, уязвимости и недостатки на стадии разработки, прежде чем они могут привести к проблемам в производстве или эксплуатации.

Ключевые слова: статический анализ, качество программного обеспечения, оценка качества, разработка, исходный код.

Статический анализ кода – это процесс проверки исходного кода на возможные ошибки, уязвимости и проблемы с качеством, без его непосредственного выполнения. Этот вид анализа помогает повысить надежность и качество программного обеспечения. Использование статических анализаторов со временем снижает затраты на разработку. «Если сравнить стоимость ошибки на этапе разработки и непосредственно после, на этапе эксплуатации, то исправление в первом случае будет стоить организации намного дешевле, чем возможное устранение последствий от дефекта» [1, с. 409].

Оценка качества программных продуктов состоит из различных аспектов, таких как функциональность, надежность, производительность, удобство использования и т. д. Один из методов оценки качества — это статический анализ кода, который позволяет выявить возможные ошибки, уязвимости и недостатки в исходном коде. Исправление обнаруженных проблем, свою очередь, повышает качество программного продукта.

Таким образом, статический анализ кода является важным инструментом для оценки качества программного обеспечения, позволяющим разработчикам создавать более надежное, производительное и качественное программное обеспечение.

Как правило, для статического анализа используются специальные инструменты, позволяющие автоматизировано применять набор правил и алгоритмов для обнаружения проблем, связанных с исходным кодом. Однако работа этих инструментов не направлена на исправление ошибок, а только на предупреждение программиста о подозрительных и потенциально проблемных участках кода. Но, их использование позволяет улучшить:

1. Стиль и форматирование кода. Соблюдение соглашений по формату кода помогает улучшить читаемость и согласованность кода во всем проекте. Стиль кода обычно обеспечивается интегрированными системами качества кода, «использующими широкий спектр методов статического анализа для обнаружения нарушений стиля кода, поведенческих дефектов, дубликатов и другие дефекты» [2, с.2]. Если в организации принята система качества кода без поддержки проверок стиля кода, разработчики могут выбрать специальные инструменты, специфичные для их языка программирования.
2. Обнаружение ошибок. Статический анализ позволяет «выявлять ошибки исключительно на основе структуры кода» [3, с.3]. Статический анализ кода может помочь обнаружить и предотвратить различного рода ошибки. Примером таких ошибок могут быть неправильное использование переменных или ресурсов, ошибки синтаксиса и прочие. Обнаружение такого рода ошибок позволяет разработчикам их исправлять на ранних этапах и минимизировать количество дефектов.
3. Производительности. Статический анализ позволяет выявить неэффективные практики и антипаттерны, такие, как избыточное использование памяти или ненужные операции. Кроме того, он позволяет обеспечить «раннее обнаружение и поддержку определения приоритетов регрессионного тестирования производительности» [4, с.2].
4. Повышение безопасности. Статический анализ помогает выявить потенциально уязвимые места в коде. «Использование анализа кода в настоящее время хорошо зарекомендовали себя для выявления недостатков, которые могут превратиться в уязвимости безопасности» [5, с.23]. Такие уязвимости могут быть использованы для нападения на систему.

Хотя статический анализ кода дает обширное представление о коде, стоит также отметить, что сложность и стоимость могут быть препятствиями для его внедрения. Часто альтернативные методы, такие как тестирование или прямое выполнение программы, более практичны и обеспечивают баланс между эффективностью и сложностью.

Рассмотрим некоторые ограничения, которыми обладает статический анализ кода. Можно выделить две основные причины, по которым возможности статического анализатора ошибок не всегда используются в полной мере. Во-первых, статические анализаторы могут выявлять огромное количество предупреждений, исправление которых может потребовать значительных ресурсов. Во-вторых, известно, что такие анализаторы часто дают большое количество ложных срабатываний, что мешает разработчикам активно работать над устранением выявленных предупреждений. В результате значительная часть предупреждений остается без внимания и может отрицательно сказаться на качестве программного продукта.

Однако есть несколько общепринятых способов повысить эффективность использования инструментов автоматизации статического анализа. Одним из них является определение приоритетов и использование более действенных оповещения для высокоприоритетных проблем, а также разработка методов для снижения количества ложных срабатываний. Интеграция статических анализаторов ошибок в рабочие процессы разработки, такие как непрерывная интеграция и проверка кода, позволяет разработчикам более эффективно реагировать на выявленные статические предупреждения. Это позволяет испытывать меньше проблем с переключением контекста при исправлении предупреждений.

Для более широкого использования статических анализаторов ошибок в рабочих процессах, таких как проверка кода, необходимо правильно управлять появляющимися статическими предупреждениями. Однако такое управление не всегда просто. Один из подходов - адаптировать статический анализ так, чтобы анализировать только измененные файлы кода, при этом сохраняя приемлемую производительность. Однако для реализации этого требуются инновации в алгоритмах и значительные инженерные усилия.

Альтернативный подход заключается в отслеживании эволюции статических предупреждений кода в истории изменений. Это означает анализ различий в статических предупреждениях кода между двумя последовательными версиями программного обеспечения. Отслеживание эволюции предупреждений о статическом коде позволяет увидеть, какие предупреждения остаются без исправления, какие устраняются, и какие новые предупреждения появляются.

Такой подход позволяет лучше понять, как разработчики реагируют на статические предупреждения по мере их появления. Он помогает определить, какие предупреждения остаются неразрешенными, какие исправляются, а какие новые предупреждения добавляются. Это дает возможность более эффективно управлять статическими предупреждениями и повысить качество программного обеспечения.

В целом, статический анализ кода представляет собой неотъемлемую частью разработки программных продуктов и помогает улучшить их качество, безопасность, производительность и другие характеристики. Использование специальных инструментов статического анализа для автоматизированных проверок исходного кода и их регулярное использование на протяжении всего жизненного цикла разработки позволит достигать наилучших результатов.

Список литературы

1. Применение гибридного анализа для поиска уязвимостей в исходном программном коде / А.Н. Баранов, Е.М. Баранова, Н.В. Кулешова, В.А. Пелипенко // Известия ТулГУ. Технические науки. — 2022. — №12. — С.408-412. — URL: https://cyberleninka.ru/article/n/primenenie-gibridnogo-analiza-dlya-poiska-uyazvimostey-v-ishodnom-programmnom-kode
2. Mehrpour, T. D. LaToza Can static analysis tools find more defects? // Empirical Software Engineering. — 2022. — №28. — URL: https://www.researchgate.net/publication/365209244_Can_static_analysis_tools_find_more_defects
3. Giebas, R. Wojszczyk Detection of Concurrency Errors in Multithreaded Applications Based on Static Source Code Analysis // IEEE Access. — 2021. — №99. — URL: https://www.researchgate.net/publication/350935174_Detection_of_Concurrency_Errors_in_Multithreaded_Applications_Based_on_Static_Source_Code_Analysis
4. Quinlan, T. Panas Detection of Concurrency Errors in Multithreaded Applications Based on Static Source Code Analysis — URL: https://www.researchgate.net/publication/228660798_Source_code_and_binary_analysis_of_software_defects/citations
5. Zhioua, S. Short, Y. Roudier Towards the Verification and Validation of Software Security Properties Using Static Code Analysis // International Journal of Comuter Science: Theory and Application. — 2014. — №2. — С.23-34. — URL: https://www.researchgate.net/publication/350935174_Detection_of_Concurrency_Errors_in_Multithreaded_Applications_Based_on_Static_Source_Code_Analysis.