什么是静态分析? 静态分析不涉及被测软件的动态执行,并且可以在运行程序之前的早期阶段检测可能的缺陷。 静态分析在编码之后和执行单元测试之前完成。 静态分析可以由机器完成,以自动“遍历”源代码并检测不合规规则。经典的例子是一个编译器,它可以找到词汇,句法甚至一些语义错误。 静态分析也可以由审查代码的人执行,以确保使用正确的编码标准和约定来构建程序。这通常称为代码审查,由同行开发人员(编写代码的开发人员以外的人)完成。 静态分析还用于强制开发人员通过设置不得使用的规则来不使用编程语言的风险或错误部分。 当开发人员执行代码分析时,他们通常会寻找 代码行 评论频率 适当的嵌套 函数调用次数 循环复杂性 也可以检查单元测试 质量属性可以成为静态分析的重点: 可靠性 可维护性 可测性 可重用性 可移植性 效率 静态分析的优点是什么? 静态分析的主要优点是,在准备进行集成和进一步测试之前,它会发现代码存在问题。 静态代码分析的优点: 它可以在确切的位置找到代码中的弱点。 它可以由经过培训的软件保障开发人员进行,他们完全理解代码。 其他或未来的开发人员可以轻松理解源代码 它允许更快地转换修复 在开发生命周期的早期发现了弱点,降低了修复成本。 在以后的测试中减少缺陷 检测到使用动态测试不能或几乎检测不到的独特缺陷 无法访问的代码 可变使用(未申报,未使用) 未调用的函数 边界值违规 静态代码分析限制: 如果手动进行则很费时间。 自动化工具会产生误报和漏报。 没有足够的训练有素的人员来彻底进行静态代码分析。 自动化工具可以提供错误的安全感,以便解决所有问题。 自动化工具的效果与它们用于扫描的规则一样好。 它没有发现运行时环境中引入的漏洞。 什么是动态分析? 与静态分析相反,在不执行代码的情况下,动态分析基于系统执行,通常使用工具。 来自维基百科对动态程序分析的定义: 动态程序分析是对计算机软件的分析,该计算机软件是通过在真实或虚拟处理器上执行从该软件构建的程序来执行的(在不执行程序的情况下执行的分析称为静态代码分析)。动态程序分析工具可能需要加载特殊库甚至重新编译程序代码。 最常见的动态分析实践是针对代码执行单元测试以查找代码中的任何错误。 动态代码分析优势: 它识别运行时环境中的漏洞。 它允许分析您无法访问实际代码的应用程序。 它识别静态代码分析中可能是漏报的漏洞。 它允许您验证静态代码分析结果。 它可以针对任何应用程序进行。 动态代码分析限制: 自动化工具提供了一种错误的安全感,一切都在被解决。 无法保证源代码的完整测试覆盖率 自动化工具会产生误报和漏报。 自动化工具仅与用于扫描的规则一样好。 将漏洞追溯到代码中的确切位置更加困难,需要更长时间才能解决问题。
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
做软件测试需要懂代码吗?
如果想要追求月薪20k、30k,接口、自动化等是避免不了的,这就必然涉及到了代码层面。
测试人员 自动化测试 开发人员 -
如何真正读懂开源代码?
用拼图、搭积木的心态来学习源码,如果你想了解它们是怎么组装在一起的,那你就需要把它分解成每一小块,再去弄清楚每一个模块是如何实现的,整体架构是怎样的。
spark 大数据 分布式 源码阅读 开源项目 -
源代码加调试代码的方法
查看并更改源码的方法
源代码 调试代码 -
关于源代码防泄密软件分析
防泄密软件的分析--SDC沙盒
源代码防泄密 服务器机密文档保护 防泄密软件 -
VS2015调试分析MFC源代码的方法
今后在分析MFC代码的时候,没有办法进入MF...
服务器 c代码 符号文件