静态代码分析方法

Question

Closed. This question needs to be more focused. It is not currently accepting answers.

---

想要改进这个问题？通过编辑这篇文章来更新问题，使其仅关注一个问题。

10 年前已关闭。

Answer 1

如果我在新的代码库上使用，我会按照我想要的方式预先设置它们。如果我在现有代码库上使用它们，我会分阶段启用消息，以便报告特定类别的问题。一旦清除了该特定类型的消息，我就会添加下一个类别。

我将静态分析工具视为编译器的一部分。每个开发人员每次构建时都会运行它们。如果可能的话，我也会像处理编译器警告一样将它们视为错误。这样带有警告的代码根本不会进入构建服务器。如果您无法在特定情况下关闭警告，这就会出现问题......并且警告只能通过协议来关闭。

Answer 2

我的经验是，一般来说，静态分析应该在开发过程的早期使用，最好（或理想情况下）在单元测试和代码签入之前。静态分析的报告也可以在代码审查过程中使用。这使得软件开发人员能够开发健壮的代码，并且在某些情况下编写可以通过静态分析工具更准确地分析的代码。

早期使用的挑战在于，软件开发人员必须接受充分的培训以使用静态分析工具，并能够有效地对获得的结果进行分类。这样，他们就可以采取具体措施来提高软件的质量。否则，该工具的使用会减少，或者标记的问题会被忽略，并且静态分析的使用会随着时间的推移而减少。

实际上，大多数开发组织在开发过程的后期都使用静态分析。在这些阶段，质量或测试工程师使用静态分析工具。在许多情况下，它与构建系统相结合来生成质量指标并提供有关软件安全性和可靠性的指导。但是，如果发现的问题累积并跨越多个代码组件，则解决所有问题的可能性将会降低。因此，后期使用静态分析通常可能需要更多的时间和资源来解决已识别的问题。

Answer 3

在检查服务器中的源代码之前，与使用静态分析工具一起建立代码审查任务（由另一个开发人员进行同行代码审查）也是一个好主意。因此，它将有助于提高代码质量，并防止无用的代码行有一天成为无用的遗留代码。