14 Апр 2020

Инструменты статического анализа кода

14 Апр 2020

С/С++
C#
Java
Несколько языков

Инструменты статического анализа предназначены для выявления дефектов в исходном коде программ. Само название говорит, что принцип их работы основан на статическом анализе кода.

Существует огромное количество инструментов статического анализа, созданных для различных языков программирования. С большим списком таких инструментов можно ознакомиться на сайте Wikipedia: List of tools for static code analysis. И существует ещё вот такой интересный список: Awesome Static Analysis.

Наша компания разрабатывает анализатор PVS-Studio, предназначенный для проверки кода на языках C, C++, C# и Java. Анализатор позиционируется как платное B2B решение, но имеется несколько вариантов бесплатных лицензий. Ещё несколько популярных инструментов для проверки кода на этих языках перечислено ниже.

С/С++

Cppcheck. Очень популярный бесплатный открытый проект. Изначально целью было полное отсутствие ложных срабатываний, но сейчас целью является их максимальное малое количество. Анализатор является универсальным и предназначен для анализа кода, написанного на C/C ++ во встроенных проектах и других, использующих различные языковые расширения. Однако анализатор не поддерживает все конструкции, описанные новыми стандартами языка C++. Анализ потока данных по большей части чувствителен к потоку и двунаправлен. Теоретически вы можете более или менее проверить свой код напрямую без настройки, однако на практике настройка анализа будет необходима. Ссылки: сайт, страница на сайте Wikipedia.
Clang Static Analyzer. Статический анализатор кода для языков C/C++/Objective-C, встроенный в компилятор Clang. Впрочем, во многих других компиляторах также есть хорошие встроенные анализаторы кода. Например, Visual Studio включает в себя поддержку статического анализа проектов Visual C++ (флаг компилятора /analyze). Популярность Clang Static Analyzer вызвана открытостью его кода и возможностью написания собственных расширений. Ссылки: сайт, страница на сайте Wikipedia, о проверке кода Clang с помощью PVS-Studio - 1, 2, 3, 4.
Clang-Tidy - отличается от диагностических возможностей Clang Static Analyzer тем, что Clang-Tidy - линтер, проверяющий соответствие кода стандартам кодирования. Подробнее о Clang-Tidy можно узнать на официальном сайте.
Frama-C. Анализатор программ на языке Си с открытым исходным кодом. Ссылки: сайт, страница на сайте Wikipedia.
Lint. Упоминается здесь, так как представляет историческую ценность. Этот инструмент можно назвать первым статическим анализатором кода для языка Си. Названия многих современных анализаторов образуются от слова "lint" (cpplint, PC-Lint, Splint, JSLint, Rpmlint, Puppet Lint, Pylint). Подробнее об инструменте можно узнать из статьи на Wikipedia.
Parasoft C/C++test. Широко известный и популярный анализатор кода. Имеется триал. Ссылки: сайт, страница на сайте Wikipedia.
PC-Lint. Весьма гибкий инструмент статического анализа. За гибкость анализа приходится платить большим количеством настроек в конфигурационных файлах. Можно попробовать в течение 30 дней для ознакомительных целей. Ссылки: страница на сайте Wikipedia.
Helix QAC. Статический анализатор для языков C, C++. Имеется возможность запросить пробную версию. Ссылки: сайт, страница на сайте Wikipedia.

C#

ReSharper. Не является статическим анализатором в классическом понимании, так как предоставляет мало сценариев использования. Плагин для Visual Studio, проводит статический анализ кода на языке C# и не только. Имеет 30-дневный триал. В 2020 году цена на него за месяц составляла $12.90 для индивидуального использования. Ссылки: сайт, страница на сайте Wikipedia.
FxCop. Бесплатный инструмент для статического анализа кода от компании Microsoft. Производит анализ байт-кода (CIL) на соответствие рекомендациям Microsoft по проектированию приложений. На данный момент проект мертв.
Roslyn Analyzers. Набор статических анализаторов кода для языков C# и Visual Basic на основе .Net Compiler Platform ("Roslyn"). Производит анализ исходного кода, в отличие от FxCop. В составе этого проекта также был произведен порт наиболее важных правил FxCop. Ссылки: сайт, GitHub.
Security Code Scan. Статический анализатор кода на основе .Net Compiler Platform ("Roslyn") для языков C# и Visual Basic для поиска паттернов ошибок, связанных с безопасностью приложений: SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), XML eXternal Entity Injection (XXE) и др. Производит анализ исходного кода. Ссылки: сайт, GitHub.
Roslynator. Набор статических анализаторов кода для языка C# на основе .Net Compiler Platform ("Roslyn"). Производит анализ исходного кода. Ссылка на GitHub.
CodeRush. Плагин для Visual Studio. Продукт коммерческий, но имеется пробная версия. Ссылки: сайт.
Parasoft dotTEST. Набор инструментов для тестирования приложений .NET, включающий в себя статический анализатор кода. Работает как плагин для Visual Studio. Как и в предыдущем случае, продукт коммерческий, имеется пробная версия. Ссылки: сайт, страница на сайте Wikipedia.

Java

FindBugs. Наиболее известный бесплатный статический анализатор Java кода. Анализирует байт-код программы. На данный момент проект мертв. Ссылка на сайт.
SpotBugs. Стал преемником FindBugs. Проект с открытым исходным кодом. Ссылка на сайт.
IntelliJ IDEA. Среда разработки от компании JetBrains, содержащая набор инспекций кода, которые позволяют найти, подсветить и исправить аномалии в коде. Ссылки: сайт, список инспекций, страница на сайте Wikipedia.
SonarJava. Статический анализатор кода для языка Java для поиска "запахов" кода, ошибок и уязвимостей, разрабатываемый компанией SonarSource. Ссылка на сайт.

Несколько языков

Coverity. Считается одним из лучших на рынке статических анализаторов кода. Поддерживает программу по бесплатной проверке открытых приложений. Ссылки: сайт, страница на сайте Wikipedia.
Klocwork Insight. Один из лидеров рынка статических анализаторов кода. Ссылки: сайт, страница на сайте Wikipedia.
Checkmarx CxSuite. Статический анализатор для анализа кода на предмет наличия закладок и уязвимостей, позволяющий выявлять и устранять проблемы безопасности на уровне исходного кода. Поддерживает широкий спектр языков программирования: Java, C#, Visual Basic, C/C++, Ruby, JavaScript, Perl и др. Ссылка на сайт.

Помимо всего прочего, развивается тематика анализаторов, построенных на базе ML. Далее несколько примеров таких анализаторов:

DeepCode. Авторы этого швейцарского стартапа утверждают, что DeepCode способен обнаруживать такие уязвимости, как возможности для межсайтового скриптинга и SQL-инъекций, так как заложенные в него алгоритмы не просто анализируют код как набор символов, но пытаются понять смысл и цель работы написанной программы. Подробнее со стартапом можно ознакомиться на официальном сайте.
SapFix. Создан инженерами из Facebook для сокращения времени, затрачиваемого инженерами на отладку, а также ускорения процесса развертывания нового программного обеспечения.
Source{d}. Стартап, организованный в Испании. Официальный сайт, на момент написания этого текста, не подавал признаков жизни, поэтому для ознакомления оставим ссылку только на GitHub.
CodeGuru. Авторами CodeGuru являются инженеры из Amazon. Сильной стороной своего анализатора они считают помощь в поиске способов оптимизации производительности вашего кода. Ссылка на официальный сайт тут.
Infer. Статический анализатор для языков C/C++, Objective-C и Java, разработанный компанией Facebook. Имеет открытый исходный код. Ссылки: сайт, страница на сайте Wikipedia.

Однако несмотря на то, что нельзя отрицать пользу ML в сфере обнаружения ошибок, у таких анализаторов много недостатков. Заглядывая в будущее, нам кажется, что ML - лишь одна из технологий, которые будут помогать в борьбе с багами. Наше отношение к анализаторам на базе ML описано в статье "Использование машинного обучения в статическом анализе исходного кода программ".