Obsah:
Definice - Co znamená analýza zdrojového kódu?
Analýza zdrojového kódu je automatické testování zdrojového kódu programu za účelem nalezení chyb a jejich odstranění před prodejem nebo distribucí aplikace.
Analýza zdrojového kódu je synonymem pro analýzu statického kódu, kde je zdrojový kód analyzován jednoduše jako kód a program neběží. Tím se odstraní potřeba vytvářet a používat testovací případy a může se oddělit od chyb specifických pro funkci, jako jsou tlačítka, která mají jinou barvu než to, co říká specifikace. Zaměřuje se na nalezení chyb v programu, které mohou být škodlivé pro jeho správnou funkci, jako jsou řádky kódu způsobující zhroucení.
Techopedia vysvětluje analýzu zdrojového kódu
Analýza zdrojového kódu je v podstatě automatizované ladění kódu. Cílem je najít chyby a chyby, které nemusí být pro programátora zřejmé. Účelem je najít chyby, jako je možné přetečení vyrovnávací paměti nebo neupravené použití ukazatelů a zneužití funkcí pro sběr odpadků, které mohou hacker využít.
Analyzátory kódu pracují podle pravidel, která mu říkají, co hledat. S příliš malou přesností by mohl analyzátor vytéci příliš mnoho falešných pozitiv a zaplavit uživatele zbytečnými varováními, zatímco přílišná přesnost může trvat příliš dlouho; proto musí být rovnováha.
Existují dva druhy analyzátorů:
- Interprocedural - Detekuje vzory od jedné funkce k další a tyto vzory jsou korelovány, takže analyzátor může vytvořit model a simulovat prováděcí cesty.
- Intraprocedural - Zaměřuje se na přizpůsobení vzorů a záleží na tom, jaké druhy vzorů uživatel hledá.
Interprocedurální analyzátory jsou modernější a komplexnější. Dobrým příkladem jsou Coverity, Fortify a vlastní předpona Microsoft centralizovaného nástroje.
