Инструменты статического анализа кода

Инструменты статического анализа предназначены для выявления дефектов в исходном коде программ. Само название говорит, что принцип их работы основан на статическом анализе кода.

Существует огромное количество инструментов статического анализа, созданных для различных языков программирования. С большим списком таких инструментов можно ознакомиться на сайте Wikipedia: List of tools for static code analysis. И существует ещё вот такой интересный список: Awesome Static Analysis.

Наша компания разрабатывает анализатор PVS-Studio, предназначенный для проверки кода на языках C, C++, C# и Java. Анализатор позиционируется как платное B2B решение, но имеется несколько вариантов бесплатных лицензий. Ещё несколько популярных инструментов для проверки кода на этих языках перечислено ниже.

С/С++

  • Cppcheck. Очень популярный бесплатный открытый проект. Изначально целью было полное отсутствие ложных срабатываний, но сейчас целью является их максимальное малое количество. Анализатор является универсальным и предназначен для анализа кода, написанного на C/C ++ во встроенных проектах и других, использующих различные языковые расширения. Однако анализатор не поддерживает все конструкции, описанные новыми стандартами языка C++. Анализ потока данных по большей части чувствителен к потоку и двунаправлен. Теоретически вы можете более или менее проверить свой код напрямую без настройки, однако на практике настройка анализа будет необходима. Ссылки: сайт, страница на сайте Wikipedia.
  • Clang Static Analyzer. Статический анализатор кода для языков C/C++/Objective-C, встроенный в компилятор Clang. Впрочем, во многих других компиляторах также есть хорошие встроенные анализаторы кода. Например, Visual Studio включает в себя поддержку статического анализа проектов Visual C++ (флаг компилятора /analyze). Популярность Clang Static Analyzer вызвана открытостью его кода и возможностью написания собственных расширений. Ссылки: сайт, страница на сайте Wikipedia, о проверке кода Clang с помощью PVS-Studio - 1, 2, 3, 4.
  • Clang-Tidy - отличается от диагностических возможностей Clang Static Analyzer тем, что Clang-Tidy - линтер, проверяющий соответствие кода стандартам кодирования. Подробнее о Clang-Tidy можно узнать на официальном сайте.
  • Frama-C. Анализатор программ на языке Си с открытым исходным кодом. Ссылки: сайт, страница на сайте Wikipedia.
  • Lint. Упоминается здесь, так как представляет историческую ценность. Этот инструмент можно назвать первым статическим анализатором кода для языка Си. Названия многих современных анализаторов образуются от слова "lint" (cpplint, PC-Lint, Splint, JSLint, Rpmlint, Puppet Lint, Pylint). Подробнее об инструменте можно узнать из статьи на Wikipedia.
  • Parasoft C/C++test. Широко известный и популярный анализатор кода. Имеется триал. Ссылки: сайт, страница на сайте Wikipedia.
  • PC-Lint. Весьма гибкий инструмент статического анализа. За гибкость анализа приходится платить большим количеством настроек в конфигурационных файлах. Можно попробовать в течение 30 дней для ознакомительных целей. Ссылки: сайт, страница на сайте Wikipedia.
  • Helix QAC. Статический анализатор для языков C, C++. Имеется возможность запросить пробную версию. Ссылки: сайт, страница на сайте Wikipedia.

C#

  • ReSharper. Не является статическим анализатором в классическом понимании, так как предоставляет мало сценариев использования. Плагин для Visual Studio, проводит статический анализ кода на языке C# и не только. Имеет 30-дневный триал. В 2020 году цена на него за месяц составляла $12.90 для индивидуального использования. Ссылки: сайт, страница на сайте Wikipedia.
  • FxCop. Бесплатный инструмент для статического анализа кода от компании Microsoft. Производит анализ байт-кода (CIL) на соответствие рекомендациям Microsoft по проектированию приложений. На данный момент проект мертв.
  • Roslyn Analyzers. Набор статических анализаторов кода для языков C# и Visual Basic на основе .Net Compiler Platform ("Roslyn"). Производит анализ исходного кода, в отличие от FxCop. В составе этого проекта также был произведен порт наиболее важных правил FxCop. Ссылки: сайт, GitHub.
  • Security Code Scan. Статический анализатор кода на основе .Net Compiler Platform ("Roslyn") для языков C# и Visual Basic для поиска паттернов ошибок, связанных с безопасностью приложений: SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), XML eXternal Entity Injection (XXE) и др. Производит анализ исходного кода. Ссылки: сайт, GitHub.
  • Roslynator. Набор статических анализаторов кода для языка C# на основе .Net Compiler Platform ("Roslyn"). Производит анализ исходного кода. Ссылка на GitHub.
  • CodeRush. Плагин для Visual Studio. Продукт коммерческий, но имеется пробная версия. Ссылки: сайт, страница на сайте Wikipedia.
  • Parasoft dotTEST. Набор инструментов для тестирования приложений .NET, включающий в себя статический анализатор кода. Работает как плагин для Visual Studio. Как и в предыдущем случае, продукт коммерческий, имеется пробная версия. Ссылки: сайт, страница на сайте Wikipedia.

Java

  • FindBugs. Наиболее известный бесплатный статический анализатор Java кода. Анализирует байт-код программы. На данный момент проект мертв. Ссылка на сайт.
  • SpotBugs. Стал преемником FindBugs. Проект с открытым исходным кодом. Ссылка на сайт.
  • IntelliJ IDEA. Среда разработки от компании JetBrains, содержащая набор инспекций кода, которые позволяют найти, подсветить и исправить аномалии в коде. Ссылки: сайт, список инспекций, страница на сайте Wikipedia.
  • SonarJava. Статический анализатор кода для языка Java для поиска "запахов" кода, ошибок и уязвимостей, разрабатываемый компанией SonarSource. Ссылка на сайт.

Несколько языков

  • Coverity. Считается одним из лучших на рынке статических анализаторов кода. Поддерживает программу по бесплатной проверке открытых приложений. Ссылки: сайт, страница на сайте Wikipedia.
  • Klocwork Insight. Один из лидеров рынка статических анализаторов кода. Ссылки: сайт, страница на сайте Wikipedia.
  • Checkmarx CxSuite. Статический анализатор для анализа кода на предмет наличия закладок и уязвимостей, позволяющий выявлять и устранять проблемы безопасности на уровне исходного кода. Поддерживает широкий спектр языков программирования: Java, C#, Visual Basic, C/C++, Ruby, JavaScript, Perl и др. Ссылка на сайт.

Помимо всего прочего, развивается тематика анализаторов, построенных на базе ML. Далее несколько примеров таких анализаторов:

  • DeepCode. Авторы этого швейцарского стартапа утверждают, что DeepCode способен обнаруживать такие уязвимости, как возможности для межсайтового скриптинга и SQL-инъекций, так как заложенные в него алгоритмы не просто анализируют код как набор символов, но пытаются понять смысл и цель работы написанной программы. Подробнее со стартапом можно ознакомиться на официальном сайте.
  • SapFix. Создан инженерами из Facebook для сокращения времени, затрачиваемого инженерами на отладку, а также ускорения процесса развертывания нового программного обеспечения. О нем можно прочесть по этой ссылке в Facebook.
  • Source{d}. Стартап, организованный в Испании. Официальный сайт, на момент написания этого текста, не подавал признаков жизни, поэтому для ознакомления оставим ссылку только на GitHub.
  • CodeGuru. Авторами CodeGuru являются инженеры из Amazon. Сильной стороной своего анализатора они считают помощь в поиске способов оптимизации производительности вашего кода. Ссылка на официальный сайт тут.
  • Infer. Статический анализатор для языков C/C++, Objective-C и Java, разработанный компанией Facebook. Имеет открытый исходный код. Ссылки: сайт, страница на сайте Wikipedia.

Однако несмотря на то, что нельзя отрицать пользу ML в сфере обнаружения ошибок, у таких анализаторов много недостатков. Заглядывая в будущее, нам кажется, что ML - лишь одна из технологий, которые будут помогать в борьбе с багами. Наше отношение к анализаторам на базе ML описано в статье "Использование машинного обучения в статическом анализе исходного кода программ".


Найденные ошибки

Проверено проектов
411
Собрано ошибок
14 100

А ты совершаешь ошибки в коде?

Проверь с помощью
PVS-Studio

Статический анализ
кода для C, C++, C#
и Java

goto PVS-Studio;
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять