静态代码分析方法

Question

对于静态代码分析工具，您会使用什么方法？

您将在何时何地运行分析？有多频繁？

在日常构建中，如何将其集成到持续构建环境中？只在晚上？

Answer 1

如果我在一个新的代码库上使用then，我会按照我想要的方式预先设置它们。如果我在现有的代码库上使用它们，我会分阶段启用消息，以便报告特定类别的问题。一旦该特定类型的消息被清除，我将添加下一个类别。

我对待静态分析工具就好像它们是编译器的一部分。每个开发人员在每次构建时都会运行它们。如果可能的话，我也会像对待编译器警告一样对待它们--作为错误。这样，带有警告的代码根本不会出现在构建服务器上。如果您不能在特定情况下关闭警告，这会有问题...只有在同意的情况下才能关闭警告。

Answer 2

我的经验是，一般来说，静态分析应该在开发过程的早期使用，最好是在单元测试和代码签入之前(或理想情况下)。来自静态分析的报告也可以在代码评审过程中使用。这使得软件开发人员能够开发健壮的代码，并且在某些情况下编写可以由静态分析工具更准确地分析的代码。

早期使用的挑战是，软件开发人员必须接受充分的培训，以便使用静态分析工具，并能够有效地对获得的结果进行分类。这样，他们就可以采取具体步骤来提高软件的质量。否则，工具的使用就会减少，或者标记的问题会被忽略，静态分析的使用也会随着时间的推移而减少。

在实践中，大多数开发组织在开发过程的后期使用静态分析。在这些阶段，质量或测试工程师使用静态分析工具。在许多情况下，它与构建系统相结合，以产生质量指标，并提供关于软件安全性和可靠性的指导。但是，如果识别出的问题累积并跨越多个代码组件，则修复所有问题的概率将会降低。因此，通常情况下，静态分析的后期使用可能需要更多的时间和资源来解决已识别的问题。

Answer 3

在检查服务器中的源代码之前，建立代码审查任务(由另一个开发人员进行同行代码审查)并使用静态分析工具也可能是一个好主意。因此，它将有助于提高代码质量，并防止有朝一日无用的代码行成为无用的遗留代码。