Statische Code-Analyse

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Statische Analyse)
Wechseln zu: Navigation, Suche

Statische Code-Analyse oder kurz statische Analyse ist ein statisches Software-Testverfahren, das zur Compilezeit durchgeführt wird. Der Quelltext wird hierbei einer Reihe formaler Prüfungen unterzogen, bei denen bestimmte Sorten von Fehlern entdeckt werden können, noch bevor die entsprechende Software (z. B. im Modultest) ausgeführt wird. Die Methodik gehört zu den falsifizierenden Verfahren, d. h. es wird die Anwesenheit von Fehlern bestimmt.

In Anlehnung an das klassische Programm Lint wird der Vorgang auch als linten (englisch linting) bezeichnet.

Methodischer Zusammenhang[Bearbeiten]

Einordnung[Bearbeiten]

Im Rahmen der Softwaretestverfahren ist die Statische Code-Analyse den White-Box-Test-Verfahren zuzuordnen (man benötigt den Quellcode). Die Analyse kann durch manuelle Inspektion erfolgen, aber auch automatisch durch ein Programm. Man spricht dann von statischer Analyse, da die zu testende Software in Form von Algorithmen und Daten in ihrer Formulierung und Beschaffenheit (statisch) dem Prüfer (oder Werkzeug) vorliegt.

Abgrenzung[Bearbeiten]

Vorläufer der statischen Analyse sind die Prüfverfahren der normierten Programmierung und die Werkzeuge zur Erkennung von Code-Mustern, die sogenannten Style Checker.

Dynamische Code-Analyse setzt im Gegensatz zur statischen Analyse ein laufendes Programm voraus. Ein dynamisches Pendant zur statischen Code-Analyse zur Compilezeit ist z. B. das Profiling zur Laufzeit.

Verfahren[Bearbeiten]

Neben dem gewissenhaften Studium von Quelltext durch Entwickler ist es möglich, viele inhaltliche Fehler werkzeuggestützt oder automatisch zu erkennen. Die Bandbreite reicht von der Sicherstellung von einfachen Coding-Standards (z. B. ein return-Statement pro Funktion) über die Prüfung von Typumwandlungen und Bereichsgrenzen über die Suche nach bestimmten Arten von Speicherlecks bis hin zur technischen Verifikation von Quelltext.

Einfache Analysen sind häufig bereits im Compiler (Übersetzer) einer Programmiersprache integriert, z. B. die Prüfung auf Initialisierung einer Variablen. Darüber hinaus gibt es Methoden, die den Programmierstil auf Ästhetik und Pragmatik prüfen, nämlich die stilistischen Methoden. Allerdings werden häufig nur Warnmeldungen angezeigt, die ignoriert werden können. Bei sogenannten Profilern wird zusätzlicher Objektcode generiert, welcher Aussagen über Codeabdeckung und Codefrequentierung generiert. Echte statische Analysierer gibt es nur wenige.

Automatisierte Codereview-Software vereinfacht die Aufgabe der Durchsicht großer Programmteile durch systematische Überprüfungen auf angreifbare Stellen wie:

Aufgrund einer nach wie vor nicht unerheblichen Anzahl an falsch erkannten, nur vermeintlichen Schwächen im Quellcode ist eine vollautomatische Korrektur durch die Werkzeuge zur statischen Code-Analyse bis zum heutigen Tag nicht Usus.

Werkzeuge[Bearbeiten]

Als „Klassiker“ auf diesem Gebiet sind neben Lint auch Checkstyle, FindBugs und PMD für Java oder Cppcheck für C++, Splint für C oder FxCop bzw. StyleCop für C# zu nennen.

Derartige Werkzeuge können nicht nur alleinstehend laufen, sondern auch integriert in die Entwicklungsumgebung bzw. in den Build Server. Sie beschränken sich nicht nur auf Kodierungsregeln wie beispielsweise die MISRA-C-Regeln, sondern erkennen auch funktionale und technische Fehler, potentielle Bugs sowie auch qualitative Schwachstellen im Code (so genannte Bad Smells), wie zum Beispiel duplizierten Code (auch Software-Klone genannt).

Einige Werkzeuge können den Code auch auf sicherheitsrelevante Programmierfehler wie zum Beispiel Pufferüberläufe oder Wettlaufsituationen prüfen, wie beispielsweise Rough Auditing Tool for Security (RATS).

Weiters gibt es noch Werkzeuge, die auch Architekturmetriken und die Konformität des Codes mit der Architekturspezifikation prüfen. Dazu gehören beispielsweise Sonargraph und Sotograph.

Literatur[Bearbeiten]

  •  Ch. Bommer, M. Spindler, V. Barr: Softwarewartung – Grundlagen, Management und Wartungstechniken. dpunkt.verlag, Heidelberg 2008, ISBN 3-89864-482-0.
  •  P. Liggesmeyer: Software-Qualität: Testen, Analysieren und Verifizieren von Software. 2 Auflage. Spektrum, Akad. Verl., Heidelberg 2009, ISBN 978-3827420565, S. 270.
  •  A. Spillner und T. Linz: Basiswissen Softwaretest. 4 Auflage. dpunkt.verlag, Heidelberg 2010, ISBN 978-3898646420, S. 98.
  •  Harry Sneed, Richard Seidl, Manfred Baumgartner: Software in Zahlen - Die Vermessung von Applikationen. 1. Auflage. Carl Hanser, München 2010, ISBN 978-3-446-42175-2.

Weblinks[Bearbeiten]

Dieser Artikel existiert auch als Audiodatei.
Gesprochene Wikipedia Dieser Artikel ist als Audiodatei verfügbar:
Speichern | Informationen | 04:19 min (2,57 MB) Text der gesprochenen Version
Mehr Informationen zur gesprochenen Wikipedia