Sự khác biệt giữa phân tích mã tĩnh và xem xét mã là gì?

Tôi chỉ muốn biết sự khác biệt giữa phân tích mã tĩnh và xem xét mã. Làm thế nào là hai trong số này được thực hiện? Cụ thể hơn, các công cụ hiện có để xem xét mã / phân tích tĩnh của PHP là gì? Tôi cũng muốn biết về các công cụ tốt để xem lại mã cho bất kỳ ngôn ngữ nào.

Đánh giá mã là một cái gì đó mọi người làm, phân tích tĩnh là một cái gì đó máy móc làm. Có (đôi khi tốt) công cụ phân tích tĩnh. Đánh giá mã là khi một đồng nghiệp / cố vấn / giáo sư / bạn bè đi qua mã của bạn và đưa ra lời phê bình mang tính xây dựng.

Mặt khác, phân tích tĩnh là một quy trình tự động trong đó một máy, được thông báo bởi những gì nó biết về ngôn ngữ mà nó đang phân tích (thường là từ hệ thống loại), phân tích một chương trình và cố gắng chọn ra những thứ có thể không chính xác, không hiệu quả, phong cách kém, hoặc nếu không tối ưu.

Phân tích tĩnh là quá trình phân tích một phần mềm mà không thực hiện nó. Điều này là rất tốt và được khuyến khích, nhưng bạn phải nhớ rằng

1. các công cụ phân tích tĩnh khác nhau có sự hiểu biết khác nhau về mã mà họ đang nghiên cứu, do đó chúng có thể báo hiệu (hoặc không báo hiệu) các vấn đề khác nhau. Một công cụ có thể đưa ra một báo cáo rõ ràng và công cụ kia có thể phàn nàn về một triệu điều.
2. một công cụ động (để đặt tên cho một ví dụ, nghĩ về valgrind) có thể tìm thấy nhiều vấn đề khác, với giá của một gánh nặng nghiêm trọng đối với việc tiêu thụ tài nguyên (thời gian, sử dụng bộ nhớ). Điều này là như vậy bởi vì bạn thường chạy một phiên bản phần mềm cụ. Lưu ý rằng, bằng cách được thiết bị theo một cách nào đó (thay thế malloc của bạn bằng một malloc gỡ lỗi), nó không hoàn toàn giống với phần mềm của bạn (như bạn có thể thấy từ thời gian thực hiện)

Cả hai cách tiếp cận này đều bị thiếu ngữ cảnh: họ không biết những gì sw cần phải đạt được.

Đánh giá mã được thực hiện bởi một lập trình viên khác, người được cho là biết nó và có thể kiểm tra

1. nếu mã đúng
2. nếu phần mềm đúng về mặt ngữ nghĩa.

Nó đắt hơn nhiều và nó có mức độ lặp lại khác nhau nhưng là một trợ giúp tuyệt vời.

Như mọi khi, không có một viên đạn bạc nào có thể khắc phục tất cả các lỗi và tránh tất cả các vấn đề. Áp dụng - càng nhiều càng tốt cho địa điểm, mã, thời gian, ba hình thức kiểm tra (tĩnh, động, nhiều mắt (và não) thực sự nhìn vào mã) được khuyến nghị.

ps: Tôi phải lưu ý rằng việc áp dụng các công cụ từ đầu thường tốt hơn nhiều. Chuyển đổi một hệ thống di sản là một kinh nghiệm ít thú vị hơn nhiều, do tích cực sai. Nếu bạn bắt đầu từ đầu và luôn hướng đến việc giữ cho công cụ phân tích sạch sẽ, có lẽ bạn sẽ tránh được rất nhiều vấn đề.

pps: như đối với các công cụ, nó phụ thuộc vào ngôn ngữ. Trong thế giới C và C ++, bạn có thể bắt đầu bằng cách nhìn vào Visual Studio, nơi chứa công cụ phân tích tĩnh tích hợp. Một danh sách tương đối đầy đủ có thể được tìm thấy trên Wikipedia.

ppps: Phân tích tĩnh phù hợp hơn với các ngôn ngữ tĩnh, như C hoặc C ++. Đối với Python, có thể rất khó để nói nếu một tên đề cập đến một danh sách tại một điểm sẽ đề cập đến một danh sách cho phần còn lại của chương trình, do các thuộc tính động của nó. Điều này không có nghĩa là không có gì có thể được thực hiện, như một nỗ lực của JIT như PyPy cho thấy.

Đánh giá mã là khi cấp cao hoặc cơ quan chuyên trách kiểm tra mã của bạn, cách mã hóa của bạn, các tiêu chuẩn tuân theo mã và cụ thể là mức logic của mã

Theo như phân tích tĩnh, đó là phân tích phần mềm máy tính được thực hiện mà không thực sự thực hiện các chương trình được xây dựng từ phần mềm đó (phân tích được thực hiện trên các chương trình thực thi được gọi là phân tích động)

Danh sách các công cụ theo công nghệ được đưa ra trong liên kết dưới đây

Danh sách các công cụ để phân tích tĩnh

Do đó xem xét mã và phân tích tĩnh là các thuật ngữ hoàn toàn khác nhau.

Đánh giá mã là đánh giá định tính hơn, phân tích mã tĩnh là đánh giá định lượng nhiều hơn.

Này, chàng trai, phương pháp này có thể được viết tốt hơn

đấu với

Hiệu suất giảm. Sẽ không hiệu quả khi xác định một chuỗi rỗng bằng cách sử dụng cấu trúc 'wcslen (str)> 0'. Một cách hiệu quả hơn là kiểm tra: str [0]! = '\ 0'.

Hiệu suất giảm. Biểu thức của loại strlen (MyStr.c_str ()) có thể được viết lại thành MyStr.length ()

Hiệu suất giảm. Trong trường hợp 'Đặt hàng' là trình vòng lặp, việc sử dụng hình thức tiền tố gia tăng sẽ hiệu quả hơn. Thay thế iterator ++ bằng ++ iterator.

Mặc dù lỗi thực sự có thể (rõ ràng) tồn tại và được SCA phát hiện

Định dạng không chính xác. Xem xét kiểm tra đối số N thực tế của chức năng 'Foo'

Biểu thức được bao quanh bởi dấu ngoặc đơn hai lần: ((biểu thức)). Một cặp dấu ngoặc đơn là không cần thiết hoặc hiện diện sai

Một cuộc gọi của chức năng 'memset' sẽ dẫn đến việc tràn bộ đệm 'Dest.lfFaceName'

Phân tích tĩnh là khi một tạo tác được phân tích mà không được thực thi. Mặc dù nó có thể được áp dụng cho bất kỳ vật phẩm nào, nó thường được áp dụng cho mã nguồn hoặc mã đối tượng và đề cập đến việc sử dụng các công cụ cụ thể để phân tích và thu thập thông tin về các sản phẩm công việc này. Các công cụ này tạo ra các báo cáo được giải thích bởi một kỹ sư để sử dụng trong việc xác định chất lượng của hệ thống đang được xây dựng và như một hướng dẫn để lập kế hoạch phát triển và bảo trì. Wikipedia có một danh sách các công cụ để phân tích tĩnh , được tổ chức theo ngôn ngữ và với một mô tả ngắn gọn về khả năng của chúng.

Đánh giá là một đánh giá của con người về một số sản phẩm công việc, có thể là mã. Đánh giá cũng có thể được tiến hành trên các thiết kế hoặc các tài liệu khác là tốt. Ý tưởng là những người quen thuộc với sản phẩm công việc khác ngoài nhà phát triển đang xem xét nó để tìm lỗi, từ các vấn đề bảo mật đến vi phạm tiêu chuẩn mã hóa.

Về mặt kỹ thuật, đánh giá mã có thể được coi là một hình thức phân tích tĩnh, vì mã không thực sự được thực thi trong quá trình xem xét. Tuy nhiên, theo thuật ngữ chung, "phân tích tĩnh" thường đề cập đến phân tích cú pháp máy của các tệp nguồn hoặc đối tượng trong khi "xem xét" chỉ ra rằng con người là người thực hiện phân tích.

Xem lại mã là kỹ thuật hữu ích để ngửi thấy các vấn đề trong mã nguồn ở giai đoạn rất sớm. Là một phần của bài tập này, nhiều vấn đề như hiệu suất, khả năng mở rộng và các tiêu chuẩn mã hóa được xác định và khắc phục. Điều này sẽ cải thiện chất lượng mã.

Phân tích tĩnh được sử dụng để phân tích các số liệu chất lượng mã như độ phức tạp chu kỳ, chỉ số duy trì, độ sâu kế thừa và khớp nối lớp. Các công cụ khác nhau có sẵn trên thị trường để phân tích chất lượng mã. Nhà phát triển C # sử dụng Microsoft visual studio để tạo báo cáo số liệu.

phân tích mã tĩnh được thực hiện bởi công cụ tự động, đánh giá mã được thực hiện với mọi người trước khi mã được cam kết.

Các công cụ để xem xét mã:

1. so sánh

2. khác biệt của phần mềm kiểm soát phiên bản

Những công cụ này luôn được sử dụng để tạo ra sự khác biệt giữa phiên bản cũ và phiên bản mới.