Vous vous demandez à quoi peut bien servir l'analyse statique de codes sources, l'analyse statique de programmes ? Vous avez utilisé les outils classiques de
Visual Studio comme le
profiling alors l'analyse statique de code, c'est quoi ?
Vous avez d'un côté le code de l'autre l'outil d'analyse statique. Celui-ci, au regard d'une liste de recettes définies au préalable, va analyser le code afin de
vérifier que vous avez respecté l'ensemble de ces "bonnes recettes".
Voici des exemples de recettes à respecter dans les langages C/C++/Objective-C :
- Improper Restriction of Operations within the bounds of a Memory Buffer
- Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)
- Out-of-bounds Read
- Improper Validation of Array Index
- Incorrect Calculation of Buffer Size
- Uncontrolled Format String
On n'accorde jamais assez d'importance à l'écriture du code et aux recettes qu'il faut s'efforcer d'appliquer, de respecter. Il faudrait mettre en place des
revues de code et un
coding guidelines dès le début d'un projet. Il faut
appliquer les bonnes recettes dès le début mais ce n'est pas toujours possible.
Donc si vous n'avez pas toute la confiance souhaitée dans un projet logiciel, il peut s'avérer utile de passer le code à la moulinette d'un
outil d'analyse statique pour faire un état des lieux le plus précis possible. On pourrait dire que c'est du "reverse engineering" mais en reverse il est très tard pour se rendre compte de la mauvaise qualité d'un logiciel.
Outils d'analyse statique
La liste des outils proposés sur le marché est bien longue ...
 |
| Liste des outils d'analyse statique |
En regardant de plus prêt cette longue liste qui nous est fournit par
Wikipedia Analyse statique de programmes une première remarque la plus part de ces outils sont payant et pas qu'un peu : Le plugin C/C++ de
SonarQube Pro est à 7000 $.
Comparaison des outils d'analyse statique
Que peut-on dire par exemple de Coverity et de SonarQube. Autres éléments de comparaison par exemple je souhaite faire de la retro-ingénierie, lequel de ces outils seraient le plus adapté.
Coverity
On aura accès à la liste des recettes appliquées par l'outil d'analyse, par exemple en
C/C++ et Objective-C.
Pour le reste il ne vous reste plus qu'à appeler :
To purchase Synopsys Software Integrity products or services, please call (800) 873-8193
Ce n'est pas très engageant !
Et sinon
enregistrez vous pour un essai ...
SonarQube
On dirait plutôt un "
all in one" plutôt qu'un outil purement d'analyse statique de code source.
 |
| SonarQube - All in One |
Les modules sont payant en tous cas pour ce qui concerne le C/C++ :
 |
| SonarQube Plugin C/C++ à 7000 $ |
Et sinon SonarQube, ils passent leur temps à analyser les logiciels, voici le résultat :
 |
| SonarQube Analyse Static - Apache HTTP Server en langage C - Bash - Git - PHP |
Ils ne se la pête pas un peu !? Je ne suis pas certain de vouloir que mon logiciel soit étalé de cette façon avec ses bugs ses failles de sécurité.
Git est en mode "
A" pour la sécurité, il va être content Linus Torvalds. Cliquons sur le projet Git pour voir les détails fournit par SonarQube :
 |
| SoanrQube - Analyse Statique de code - Projet Git |
No Vulnerabilities
At least one blocker bug
Code Smells : ça sent bon le code ? mdr.
Cliquons sur Bugs pour voir :
 |
| SonarQube Analyse des Bugs de Git |
Quel joli graphique, en fait l'état du logiciel Git est affiché là ouvert au publique. C'est incroyable la transparence de nos jours.
1 127 Bugs
205 New Bugs
Cppcheck
void f()
{
char *p;
*p = 0;
}
Check :
Cppcheck 1.75
[test.cpp:3]: (style) Variable 'p' is not assigned a value.
[test.cpp:4]: (error) Uninitialized variable: p
Done!
Detect various kinds of bugs in your code:
Out of bounds checking
Memory leaks checking
Detect possible null pointer dereferences
Check for uninitialized variables
Check for invalid usage of STL
Checking exception safety
Warn if obsolete or unsafe functions are used
Warn about unused or redundant code
Detect various suspicious code indicating bugs
…
List of all checks
Plugin for Visual Studio
Conclusion
Je ne vous ai certainement pas donné assez l'envie d'utiliser ces outils ... Mais je vais certainement devoir en choisir un pour travailler avec, le mois prochain ... alors je vous tiendrais au courant.
Nous avons compris maintenant que la qualité logicielle se conçoit dès le début d'un projet en mettant en place les bons outils et les bonnes pratiques de développement.
Alors aimez-nous, sinon ... champignon !
