🥇静的解析 - 導入から統合まで

終わりのないコードレビューやデバッグにうんざりして、生活を簡素化する方法を考えることがあります。そして、少し検索したり、偶然見つけたりすると、「静的解析」という魔法のフレーズが表示されます。それが何なのか、そしてそれがプロジェクトとどのように相互作用するのかを見てみましょう。

実際、現代の言語で書くと、気づかないうちに静的アナライザーを実行したことになります。実際のところ、最新のコンパイラは、コード内の潜在的な問題について、たとえ小規模であっても一連の警告を提供します。たとえば、Visual Studio で C++ コードをコンパイルすると、次のように表示される場合があります。

この出力では、変数が VAR 関数のどこにも使用されていません。したがって、実際には、ほとんどの場合、単純な静的コードアナライザーを使用していました。ただし、Coverity、Klocwork、PVS-Studio などの専門的なアナライザーとは異なり、コンパイラーによって提供される警告は、狭い範囲の問題のみを示す場合があります。

静的解析とは何か、またその実装方法がよくわからない場合は、この記事を読むこの方法論について詳しくは、こちらをご覧ください。

なぜ静的解析が必要なのでしょうか?

一言で言えば、高速化と簡素化です。

静的分析を使用すると、言語構造の誤った使用からタイプミスまで、コード内のさまざまな問題を見つけることができます。たとえば、代わりに

auto x = obj.x;
auto y = obj.y;
auto z = obj.z;

次のコードを書きました。

auto x = obj.x;
auto y = obj.y;
auto z = obj.x;

ご覧のとおり、最後の行にタイプミスがあります。たとえば、PVS-Studio は次の警告を発行します。

V６０「y」項目の使用法が正しいかどうかを検討してください。

このエラーに手を出したい場合は、コンパイラエクスプローラーで既製の例を試してください。クリック*.

そして、ご存知のとおり、コードのそのようなセクションにすぐに注意を払うことが常に可能であるとは限りません。そのため、すべてがなぜこれほど奇妙な動作をするのか疑問に思いながら、十分な時間デバッグに座ることができます。

しかし、これは明らかに間違いです。開発者が言語の微妙な点を忘れて次善のコードを書いたらどうなるでしょうか? あるいはコード内で許可することもできます未定義の動作? 残念ながら、そのようなケースはまったくありふれたことであり、大部分の時間はタイプミス、典型的なエラー、または未定義の動作を含む実際に動作するコードのデバッグに費やされます。

このような状況のために、静的分析が登場しました。これは開発者のアシスタントであり、コード内のさまざまな問題を指摘し、なぜこのように書く必要がないのか、それによって何が起こるのか、そしてそれを修正する方法をドキュメントで説明します。以下にその例を示します: *クリック*.

アナライザーが検出できるさらに興味深いエラーを記事で見つけることができます。

この資料を読み、静的解析の利点を理解したので、静的解析を試してみることをお勧めします。しかし、どこから始めればよいでしょうか? 新しいツールを現在のプロジェクトに統合するにはどうすればよいですか? そしてチームを彼に紹介するにはどうすればよいでしょうか？これらの質問に対する答えは以下にあります。

注意してください。 静的分析は、コードレビューなどの便利な機能を置き換えたり、キャンセルしたりするものではありません。このプロセスを補完し、タイプミス、不正確さ、危険なデザインを事前に発見して修正するのに役立ちます。間違って配置された括弧やコードを探すよりも、アルゴリズムとコードの明確さに関するコードレビューに重点を置く方がはるかに生産的です。退屈な比較関数を読む.

0. ツールについて知る

すべては試用版から始まります。実際、ツールを実際に見たことがない場合、開発プロセスに何かを導入することを決定するのは困難です。したがって、最初に行う必要があるのはダウンロードです体験版.

この段階で学ぶこと:

アナライザーと対話する方法は何ですか。
アナライザーは開発環境と互換性がありますか?
現在あなたのプロジェクトにはどのような問題がありますか?

必要なものをすべてインストールしたら、最初にプロジェクト全体の分析を実行する必要があります(Windows, Linux, macOS）。 Visual Studio の PVS-Studio の場合、同様の画像 (クリック可能) が表示されます。

実際、静的アナライザーは通常、大規模なコードベースを持つプロジェクトに対して大量の警告を発行します。プロジェクトはすでに機能しているため、すべてを修正する必要はありません。つまり、これらの問題は重大ではありません。しかし、あなたは最も興味深い警告を確認できます必要に応じて修正します。これを行うには、出力をフィルタリングして、最も信頼性の高いメッセージのみを残す必要があります。 Visual Studio の PVS-Studio プラグインでは、これはエラーレベルとカテゴリによるフィルター処理によって行われます。最も正確な出力を得るには、のみを残しますハイ и (クリックも可能):

実際、178 件の警告は、数千件の警告よりもはるかに見やすくなります。

タブ内 M и ロー多くの場合、適切な警告がありますが、これらのカテゴリには、精度 (信頼性) が低い診断が含まれます。 Windows で動作するための警告レベルとオプションの詳細については、こちらをご覧ください: *クリック*.

最も興味深いエラーを正常にレビューし、それらを正常に修正することには価値があります。残りの警告を抑制する。これは、新しい警告が古い警告の中に埋もれないようにするために必要です。さらに、静的アナライザーはプログラマーのアシスタントであり、バグのリストではありません。 🙂

1. 自動化

慣れてきたら、プラグインを設定して CI に統合します。これは、プログラマが静的アナライザーの使用を開始する前に行う必要があります。実際のところ、プログラマは分析を有効にすることを忘れたり、分析をまったくしたくない可能性があります。これを行うには、テストされていないコードが一般的な開発ブランチに入らないように、すべての最終チェックを行う必要があります。

この段階で学ぶこと:

このツールはどのような自動化オプションを提供しますか。
アナライザーはあなたの組み立てシステムと互換性がありますか?

完璧なドキュメントは存在しないため、場合によっては書き込む必要があります。支える。これは正常なことであり、喜んでサポートさせていただきます。 🙂

次に、継続的インテグレーション (CI) サービスに移りましょう。どのようなアナライザーも深刻な問題なくそれらに実装できます。これを行うには、パイプライン内に別のステージを作成する必要があります。通常、このステージはビルドと単体テストの後に配置されます。これは、さまざまなコンソールユーティリティを使用して行われます。たとえば、PVS-Studio は次のユーティリティを提供します。

PVS-Studio_Cmd.exe (Windows 上のソリューション、C#、C++ プロジェクトの分析)
CLMonitor.exe (コンパイル監視)
pvs-スタジオアナライザー (Linux / macOS 上の C++ プロジェクトの分析)
pvs-studio-dotnet (ソリューション分析、Linux / macOS 上の C# プロジェクト)
pvs-studio.jar (Javaプロジェクトの分析)
プログコンバーター (レポートファイルコンバーター)

分析を CI に統合するには、次の XNUMX つのことを行う必要があります。

アナライザーをインストールします。
分析を実行します。
結果を出します。

たとえば、PVS-Studio を Linux (Debian ベース) にインストールするには、次のコマンドを実行する必要があります。

wget -q -O - https://files.viva64.com/etc/pubkey.txt 
    | sudo apt-key add -
sudo wget -O /etc/apt/sources.list.d/viva64.list 
  https://files.viva64.com/etc/viva64.list
  
sudo apt-get update -qq
sudo apt-get install -qq pvs-studio

Windows を実行しているシステムでは、パッケージマネージャーからアナライザーをインストールする方法はありませんが、コマンドラインからアナライザーを展開することは可能です。

PVS-Studio_setup.exe /verysilent /suppressmsgboxes 
/norestart /nocloseapplications

Windows * を実行しているシステムへの PVS-Studio の展開について詳しく読むことができます。ここで*.

インストール後、分析を直接実行する必要があります。ただし、コンパイルとテストが完了した後にのみこれを実行することをお勧めします。これは、静的解析には通常、コンパイルの XNUMX 倍の時間がかかるためです。

起動方法はプラットフォームとプロジェクトの機能に依存するため、例として C++ (Linux) のオプションを示します。

pvs-studio-analyzer analyze -j8 
                            -o PVS-Studio.log
plog-converter -t errorfile PVS-Studio.log --cerr -w

最初のコマンドは分析を実行し、XNUMX 番目のコマンドは分析を実行します。封筒レポートをテキスト形式に変換して画面に表示し、警告がある場合は 0 以外のリターンコードを返します。このようなメカニズムは、エラーメッセージが表示された場合にビルドをブロックするために便利に使用できます。ただし、フラグはいつでも削除できます -w また、警告を含むアセンブリをブロックしないでください。

注意してください。 テキスト形式は不便です。これは単なる例として提供されています。さらに興味深いレポート形式である FullHtml に注目してください。これにより、コード内を移動できます。

CI での分析のセットアップの詳細については、記事「」を参照してください。PVS-Studio と継続的統合" (Windows) または "Travis CI で PVS-Studio をセットアップする方法" (Linux)。

これで、ビルドサーバー上でアナライザーが構成されました。ここで、誰かがテストされていないコードをアップロードした場合、検証段階は失敗し、問題を検出できるようになります。ただし、ブランチがマージされた後ではなくプロジェクトをチェックする方が効率的であるため、これは完全に便利というわけではありません。その前の、プルリクエストの段階で。

一般に、プルリクエスト分析のセットアップは、CI での通常の分析の開始とそれほど変わりません。ただし、変更されたファイルのリストを取得する必要がある場合を除きます。これらは通常、git を使用してブランチ間の差異をクエリすることで取得できます。

git diff --name-only HEAD origin/$MERGE_BASE > .pvs-pr.list

次に、このファイルのリストを入力としてアナライザーに渡す必要があります。たとえば、PVS-Studio では、これはフラグを使用して実装されます。 -S:

pvs-studio-analyzer analyze -j8 
                            -o PVS-Studio.log 
                            -S .pvs-pr.list

プルリクエストの分析について詳しくは、こちらをご覧ください *ここで*。ご使用の CI がこの記事で言及されているサービスのリストに載っていない場合でも、このタイプの分析の理論に特化した一般的なセクションが役立つことがわかります。

プルリクエストの分析を設定すると、警告を含むコミットをブロックできるため、テストされていないコードが越えられない境界が作成されます。

確かにこれはすべて良いことですが、すべての警告を XNUMX か所で確認できるようにしたいと考えています。静的アナライザーだけでなく、単体テストや動的アナライザーからも使用できます。これにはさまざまなサービスやプラグインがあります。たとえば、PVS-Studio には、 SonarQube に統合するためのプラグイン.

2. 開発者マシンへの統合

次に、日常の開発で使用するためにアナライザーをインストールして構成します。この時点ですでにほとんどの作業方法に慣れているため、これが最も簡単な部分と言えます。

最も簡単なオプションとして、開発者は必要なアナライザーを自分でインストールできます。ただし、これには時間がかかり、開発に集中できなくなるため、インストーラーと必要なフラグを使用してこのプロセスを自動化できます。 PVS-Studio にはさまざまなものがあります自動インストール用のフラグ。ただし、Chocolatey (Windows)、Homebrew (macOS)、または Linux 用の多数のオプションなど、常にパッケージマネージャーが存在します。

次に、必要なプラグインをインストールする必要があります。たとえば、 Visual Studioの, IDEA, ライダー等々

3. 日常使用

この段階では、日常使用中にアナライザーを高速化する方法について少し説明します。プロジェクト全体の完全な分析には多くの時間がかかりますが、プロジェクト全体のコードを一度に変更する頻度はどれくらいでしょうか? コードベース全体に直ちに影響を与えるほど大規模なリファクタリングはほとんどありません。一度に変更されるファイルの数が XNUMX を超えることはほとんどないため、それらを分析することは理にかなっています。このような状況に対しては、インクリメンタル分析モード。心配しないでください。これは別のツールではありません。これは、変更されたファイルとその依存関係のみを分析できる特別なモードであり、プラグインがインストールされた IDE で作業している場合、これはビルド後に自動的に行われます。

アナライザーは、最近変更されたコード内で問題を検出した場合、これを個別に報告します。たとえば、PVS-Studio はアラートを使用してこれについて通知します。

もちろん、開発者にこのツールを使用するように指示するだけでは十分ではありません。私たちは、それが何であり、それがどのようなものであるかを何らかの方法で彼らに伝える必要があります。たとえば、ここには PVS-Studio のクイックスタートに関する記事がありますが、好みのツールについては同様のチュートリアルを見つけることができます。

このような記事には、日常使用に必要なすべての情報が記載されており、それほど時間はかかりません。 🙂

ツールに慣れる段階でも、最初の起動時に多くの警告を抑制しました。残念ながら、静的アナライザーは完璧ではないため、時々誤検知が発生することがあります。通常、これらを抑制するのは簡単です。たとえば、Visual Studio の PVS-Studio プラグインでは、ボタンを XNUMX つクリックするだけです。

ただし、単に抑制するだけではありません。たとえば、問題をサポートに報告できます。誤検知を修正できれば、今後の更新で、コードベースに特有の誤検知がどんどん減っていくことがわかります。

統合後

そのため、私たちは静的分析を開発プロセスに統合するすべての段階を経てきました。このようなツールを CI にセットアップすることの重要性にもかかわらず、ツールを実行する最も重要な場所は開発者のコンピューターです。結局のところ、静的アナライザーは、遠く離れたところでそのコードはダメだと言う裁判官ではありません。逆に、疲れているかどうかを教えてくれたり、忘れ物をしていれば思い出させてくれるアシスタントです。

確かに、静的解析を定期的に使用しない限り、開発が大幅に簡素化される可能性はほとんどありません。結局のところ、開発者にとっての主な利点は、コードの複雑で物議を醸すセクションを検索することではなく、早期に検出することにあります。編集内容をテストに送信した後に問題を発見するのは不快なだけでなく、非常に時間がかかることに同意します。静的分析を定期的に使用すると、コンピューター上のすべての変更が直接調べられ、コードの作業中に疑わしい場所が報告されます。

あなたやあなたの同僚がアナライザーを実装する価値があるかどうかまだわからない場合は、今すぐ記事を読み始めることをお勧めします。静的コードアナライザー PVS-Studio を開発プロセスに導入する理由これは、静的解析に時間がかかるなどの開発者の一般的な懸念に対処します。

この記事を英語圏の読者と共有したい場合は、翻訳リンク「Maxim Zvyagintsev」を使用してください。静的解析: 入門から統合まで.

出所： habr.com

静的解析 - 知り合いから統合まで

なぜ静的解析が必要なのでしょうか?

0. ツールについて知る

1. 自動化

2. 開発者マシンへの統合

3. 日常使用

統合後

コメントを追加します返信をキャンセル

静的解析 - 知り合いから統合まで

なぜ静的解析が必要なのでしょうか?

0. ツールについて知る

1. 自動化

2. 開発者マシンへの統合

3. 日常使用

統合後

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル