Statiskā analīze - no ievada līdz integrācijai

Noguris no nebeidzamās koda pārskatīšanas vai atkļūdošanas, dažreiz jūs domājat par to, kā vienkāršot savu dzīvi. Un pēc nelielas meklēšanas vai nejauši uzklupot, jūs varat redzēt burvju frāzi: "Statiskā analīze". Apskatīsim, kas tas ir un kā tas var mijiedarboties ar jūsu projektu.

Patiesībā, ja jūs rakstāt jebkurā mūsdienu valodā, tad, pat nemanot, jūs to izlaidāt caur statisko analizatoru. Fakts ir tāds, ka jebkurš mūsdienu kompilators nodrošina, lai arī niecīgu, brīdinājumu kopu par iespējamām koda problēmām. Piemēram, kompilējot C++ kodu programmā Visual Studio, var tikt parādīts šāds:

Šajā izvadā mēs redzam, ka mainīgais VAR nekad nav izmantots nekur funkcijā. Tātad patiesībā jūs gandrīz vienmēr izmantojāt vienkāršu statiskā koda analizatoru. Tomēr atšķirībā no profesionāliem analizatoriem, piemēram, Coverity, Klocwork vai PVS-Studio, kompilatora sniegtie brīdinājumi var norādīt tikai uz nelielu problēmu loku.

Ja nezināt, kas ir statiskā analīze un kā to ieviest, izlasi šo rakstulai uzzinātu vairāk par šo metodiku.

Kāpēc jums nepieciešama statiskā analīze?

Īsumā: paātrinājums un vienkāršošana.

Statiskā analīze ļauj kodā atrast daudz dažādu problēmu: no nepareizas valodas konstrukciju lietošanas līdz drukas kļūdām. Piemēram, tā vietā

auto x = obj.x;
auto y = obj.y;
auto z = obj.z;

Jūs uzrakstījāt šādu kodu:

auto x = obj.x;
auto y = obj.y;
auto z = obj.x;

Kā redzat, pēdējā rindā ir drukas kļūda. Piemēram, PVS-Studio izdod šādu brīdinājumu:

V537 Apsveriet iespēju pārskatīt vienuma “y” lietojuma pareizību.

Ja vēlaties atklāt šo kļūdu, izmēģiniet gatavu piemēru programmā Compiler Explorer: *raudāt*.

Un, kā jūs saprotat, ne vienmēr ir iespējams pievērst uzmanību šādām koda sadaļām, un tāpēc jūs varat sēdēt, atkļūdojot labu stundu, prātojot, kāpēc viss darbojas tik dīvaini.

Tomēr tā acīmredzami ir kļūda. Ko darīt, ja izstrādātājs uzrakstīja neoptimālu kodu, jo viņš aizmirsa kādu valodas smalkumu? Vai pat atļāva to kodā nenoteikta uzvedība? Diemžēl šādi gadījumi ir pilnīgi ikdienišķa parādība, un lielākā daļa laika tiek pavadīta, atkļūdojot īpaši strādājošu kodu, kurā ir drukas kļūdas, tipiskas kļūdas vai nedefinēta uzvedība.

Tieši šīm situācijām parādījās statiskā analīze. Šis ir izstrādātāja palīgs, kurš norādīs uz dažādām koda problēmām un dokumentācijā paskaidros, kāpēc nav nepieciešams šādi rakstīt, pie kā tas var novest un kā to labot. Šeit ir piemērs tam, kā tas varētu izskatīties: *raudāt*.

Vairāk interesantu kļūdu, ko analizators var atklāt, varat atrast rakstos:

• 10 populārākās kļūdas C++ projektos 2019. gadā
• 10 populārākās kļūdas C# projektos 2019. gadā
• 10 populārākās kļūdas Java projektos 2019. gadā

Tagad, kad esat izlasījis šo materiālu un esat pārliecināts par statiskās analīzes priekšrocībām, iespējams, vēlēsities to izmēģināt. Bet ar ko sākt? Kā integrēt jaunu rīku pašreizējā projektā? Un kā ar viņu iepazīstināt komandu? Atbildes uz šiem jautājumiem atradīsit tālāk.

Piezīme. Statiskā analīze neaizstāj vai neatceļ tik noderīgu lietu kā kodu pārskatīšana. Tas papildina šo procesu, palīdzot jau iepriekš pamanīt un labot drukas kļūdas, neprecizitātes un bīstamus dizainus. Daudz produktīvāk ir koncentrēties uz koda pārskatīšanu par algoritmiem un koda skaidrību, nevis meklēt nepareizi novietotas iekavas vai lasīt garlaicīgas salīdzināšanas funkcijas.

0. Rīka iepazīšana

Viss sākas ar izmēģinājuma versiju. Patiešām, ir grūti izlemt kaut ko ieviest izstrādes procesā, ja jūs nekad iepriekš neesat redzējis rīku tiešraidē. Tāpēc pirmā lieta, kas jums jādara, ir lejupielādēt izmēģinājuma versija.

Ko jūs uzzināsiet šajā posmā:

• Kādi ir mijiedarbības veidi ar analizatoru;
• Vai analizators ir saderīgs ar jūsu izstrādes vidi?
• Kādas problēmas pašlaik ir jūsu projektos?

Kad esat instalējis visu nepieciešamo, pirmā lieta, kas jums jādara, ir palaist visa projekta analīzi (Windows, Linux, macOS). PVS-Studio gadījumā programmā Visual Studio jūs redzēsit līdzīgu attēlu (noklikšķināms):

Fakts ir tāds, ka statiskie analizatori parasti izdod milzīgu skaitu brīdinājumu projektiem ar lielu kodu bāzi. Nav nepieciešams tās visas novērst, jo jūsu projekts jau darbojas, kas nozīmē, ka šīs problēmas nav kritiskas. Tomēr jūs jūs varat apskatīt interesantākos brīdinājumus un izlabojiet tos, ja nepieciešams. Lai to izdarītu, jums ir jāfiltrē izvade un jāatstāj tikai visuzticamākie ziņojumi. Visual Studio spraudnī PVS-Studio tas tiek darīts, filtrējot pēc kļūdu līmeņiem un kategorijām. Lai iegūtu visprecīzāko rezultātu, atstājiet tikai augsts и vispārējs (arī noklikšķināms):

Patiešām, 178 brīdinājumus ir daudz vieglāk apskatīt nekā vairākus tūkstošus...

Cilnēs vidējs и Zems Bieži vien ir labi brīdinājumi, taču šajās kategorijās ietilpst tās diagnostikas, kurām ir mazāka precizitāte (uzticamība). Plašāku informāciju par brīdinājuma līmeņiem un opcijām darbam operētājsistēmā Windows var atrast šeit: *raudāt*.

Veiksmīgi pārskatīt interesantākās kļūdas (un veiksmīgi tās izlabot) ir vērts izslēgt atlikušos brīdinājumus. Tas nepieciešams, lai jauni brīdinājumi nepazustu starp vecajiem. Turklāt statiskais analizators ir programmētāja palīgs, nevis kļūdu saraksts. 🙂

1.Automātika

Pēc iepazīšanās ir pienācis laiks konfigurēt spraudņus un integrēties CI. Tas ir jādara, pirms programmētāji sāk lietot statisko analizatoru. Fakts ir tāds, ka programmētājs var aizmirst iespējot analīzi vai nevēlas to darīt vispār. Lai to izdarītu, jums ir jāveic visa galīgā pārbaude, lai nepārbaudīts kods nevarētu iekļūt vispārējā izstrādes nozarē.

Ko jūs uzzināsiet šajā posmā:

• Kādas automatizācijas iespējas nodrošina rīks;
• Vai analizators ir savietojams ar jūsu montāžas sistēmu?

Tā kā perfekta dokumentācija nepastāv, dažreiz jums ir jāieraksta atbalstu. Tas ir normāli, un mēs esam priecīgi jums palīdzēt. 🙂

Tagad pāriesim pie nepārtrauktas integrācijas (CI) pakalpojumiem. Tajos bez nopietnām problēmām var ievietot jebkuru analizatoru. Lai to izdarītu, cauruļvadā ir jāizveido atsevišķs posms, kas parasti atrodas pēc uzbūves un vienības pārbaudēm. Tas tiek darīts, izmantojot dažādas konsoles utilītas. Piemēram, PVS-Studio nodrošina šādas utilītas:

• PVS-Studio_Cmd.exe (risinājumu analīze, C#, C++ projekti operētājsistēmā Windows)
• CLMonitor.exe (kompilācijas uzraudzība)
• pvs-studio-analizators (C++ projektu analīze operētājsistēmā Linux/macOS)
• pvs-studio-dotnet (risinājuma analīze, C# projekti operētājsistēmā Linux/macOS)
• pvs-studio.jar (Java projektu analīze)
• PlogConverter (pārskata failu pārveidotājs)

Lai integrētu analīzi CI, jums ir jāveic trīs darbības:

• uzstādiet analizatoru;
• Izpildīt analīzi;
• Sniedziet rezultātus.

Piemēram, lai instalētu PVS-Studio operētājsistēmā Linux (Debian-base), jums ir jāizpilda šādas komandas:

wget -q -O - https://files.viva64.com/etc/pubkey.txt 
    | sudo apt-key add -
sudo wget -O /etc/apt/sources.list.d/viva64.list 
  https://files.viva64.com/etc/viva64.list
  
sudo apt-get update -qq
sudo apt-get install -qq pvs-studio

Sistēmās, kurās darbojas sistēma Windows, nav iespējams instalēt analizatoru no pakotņu pārvaldnieka, taču ir iespējams izvietot analizatoru no komandrindas:

PVS-Studio_setup.exe /verysilent /suppressmsgboxes 
/norestart /nocloseapplications

Varat lasīt vairāk par PVS-Studio izvietošanu sistēmās, kurās darbojas sistēma Windows *šeit*.

Pēc instalēšanas analīze ir jāpalaiž tieši. Tomēr ieteicams to darīt tikai pēc apkopošanas un testu nokārtošanas. Tas ir tāpēc, ka statiskā analīze parasti aizņem divreiz ilgāku laiku nekā kompilācija.

Tā kā palaišanas metode ir atkarīga no platformas un projekta funkcijām, es kā piemēru parādīšu opciju C++ (Linux):

pvs-studio-analyzer analyze -j8 
                            -o PVS-Studio.log
plog-converter -t errorfile PVS-Studio.log --cerr -w

Pirmā komanda veiks analīzi, bet otrā aploksnespārvērš atskaiti teksta formātā, parāda to ekrānā un atgriež atgriešanas kodu, kas nav 0, ja ir brīdinājumi. Šādu mehānismu var ērti izmantot, lai bloķētu būvējumu, ja tiek parādīti kļūdu ziņojumi. Tomēr jūs vienmēr varat noņemt karogu -w un nebloķējiet bloku, kurā ir brīdinājumi.

Piezīme. Teksta formāts ir neērts. Tas ir sniegts vienkārši kā piemērs. Pievērsiet uzmanību interesantākam atskaites formātam - FullHtml. Tas ļauj jums pārvietoties pa kodu.

Vairāk par CI analīzes iestatīšanu varat lasīt rakstā "PVS-Studio un nepārtraukta integrācija" (Windows) vai "Kā iestatīt PVS-Studio programmā Travis CI" (Linux).

Labi, jūs esat konfigurējis analizatoru būvēšanas serverī. Tagad, ja kāds augšupielādēja nepārbaudītu kodu, verifikācijas posms neizdosies, un jūs varēsit atklāt problēmu, taču tas nav gluži ērti, jo efektīvāk ir pārbaudīt projektu nevis pēc filiāļu apvienošanas, bet pirms tā, vilkšanas pieprasījuma stadijā. A.

Kopumā izvilkšanas pieprasījuma analīzes iestatīšana daudz neatšķiras no parastās CI analīzes palaišanas. Izņemot nepieciešamību iegūt izmainīto failu sarakstu. Parasti tos var iegūt, vaicājot atšķirības starp filiālēm, izmantojot git:

git diff --name-only HEAD origin/$MERGE_BASE > .pvs-pr.list

Tagad jums ir jānodod šis failu saraksts analizatoram kā ievade. Piemēram, PVS-Studio tas tiek īstenots, izmantojot karogu -S:

pvs-studio-analyzer analyze -j8 
                            -o PVS-Studio.log 
                            -S .pvs-pr.list

Varat uzzināt vairāk par piesaistes pieprasījumu analīzi*šeit*. Pat ja jūsu KI nav rakstā minēto pakalpojumu sarakstā, jums noderēs vispārīgā sadaļa, kas veltīta šāda veida analīzes teorijai.

Iestatot vilkšanas pieprasījumu analīzi, varat bloķēt brīdinājumus saturošas saistības, tādējādi izveidojot robežu, kuru nepārbaudīts kods nevar pārkāpt.

Tas viss noteikti ir labi, bet es vēlētos, lai visi brīdinājumi būtu redzami vienuviet. Ne tikai no statiskā analizatora, bet arī no vienības testiem vai no dinamiskā analizatora. Šim nolūkam ir dažādi pakalpojumi un spraudņi. Piemēram, PVS-Studio ir spraudnis integrācijai SonarQube.

2. Integrācija izstrādātāju mašīnās

Tagad ir pienācis laiks instalēt un konfigurēt analizatoru ikdienas lietošanai. Šajā brīdī jūs jau esat iepazinies ar lielāko daļu darba veidu, tāpēc to var saukt par vieglāko daļu.

Kā vienkāršāko iespēju izstrādātāji var paši instalēt nepieciešamo analizatoru. Tomēr tas prasīs daudz laika un novērsīs viņu uzmanību no izstrādes, tāpēc jūs varat automatizēt šo procesu, izmantojot instalētāju un nepieciešamos karogus. PVS-Studio ir dažādas karodziņi automatizētai uzstādīšanai. Tomēr vienmēr ir pakotņu pārvaldnieki, piemēram, Chocolatey (Windows), Homebrew (macOS) vai desmitiem iespēju Linux.

Pēc tam jums būs jāinstalē nepieciešamie spraudņi, piemēram, priekš Visual Studio, IDEA, Braucējs un tā joprojām

3. Ikdienas lietošana

Šajā posmā ir pienācis laiks pateikt dažus vārdus par veidiem, kā paātrināt analizatoru ikdienas lietošanas laikā. Visa projekta pilnīga analīze aizņem daudz laika, bet cik bieži mēs vienlaikus mainām kodu visā projektā? Diez vai ir tik liela pārveidošana, kas nekavējoties ietekmētu visu kodu bāzi. Vienlaicīgi maināmo failu skaits reti pārsniedz duci, tāpēc ir lietderīgi tos analizēt. Šādai situācijai ir Inkrementālās analīzes režīms. Vienkārši neuztraucieties, tas nav vēl viens rīks. Šis ir īpašs režīms, kas ļauj analizēt tikai mainītos failus un to atkarības, un tas notiek automātiski pēc izveides, ja strādājat IDE ar instalētu spraudni.

Ja analizators konstatē problēmas nesen mainītajā kodā, tas ziņos par to neatkarīgi. Piemēram, PVS-Studio jums par to pastāstīs, izmantojot brīdinājumu:

Protams, nepietiek ar to, ka izstrādātājiem liek izmantot rīku. Mums kaut kā viņiem ir jāpasaka, kas tas ir un kā tas ir. Šeit, piemēram, ir raksti par ātro PVS-Studio palaišanu, taču varat atrast līdzīgas apmācības jebkuram rīkam, kuru vēlaties:

• Kā palaist PVS-Studio operētājsistēmā Windows (C, C++, C#)
• Kā palaist PVS-Studio operētājsistēmā Linux un macOS (C, C++)
• Kā palaist PVS-Studio Java

Šādi raksti sniedz visu ikdienas lietošanai nepieciešamo informāciju un neaizņem daudz laika. 🙂

Pat rīka iepazīšanas posmā mēs vienā no pirmajām palaišanas reizēm apspiedām daudzus brīdinājumus. Diemžēl statiskie analizatori nav ideāli, tāpēc laiku pa laikam tie sniedz viltus pozitīvus rezultātus. Parasti tos ir viegli apspiest; piemēram, Visual Studio spraudnī PVS-Studio jums vienkārši jānoklikšķina uz vienas pogas:

Tomēr jūs varat darīt vairāk, nekā tikai tos apspiest. Piemēram, varat ziņot atbalsta dienestam par problēmu. Ja viltus pozitīvo rezultātu var labot, turpmākajos atjauninājumos varat pamanīt, ka katru reizi jūsu kodu bāzei ir mazāk un mazāk viltus pozitīvu rezultātu.

Pēc integrācijas

Tāpēc mēs esam izgājuši cauri visiem statiskās analīzes integrēšanas attīstības procesā posmiem. Neskatoties uz to, cik svarīgi ir iestatīt šādus rīkus CI, vissvarīgākā vieta, kur tos darbināt, ir izstrādātāja dators. Galu galā statiskais analizators nav tiesnesis, kurš kaut kur tālu no jums saka, ka kods nav labs. Gluži otrādi, tas ir palīgs, kas paziņo, ja esi noguris, un atgādina, ja esi kaut ko aizmirsis.

Tiesa, bez regulāras lietošanas statiskā analīze diez vai būtiski vienkāršos izstrādi. Galu galā tā galvenais ieguvums izstrādātājam ir ne tik daudz sarežģītu un strīdīgu koda sadaļu meklēšanā, bet gan to agrīnā atklāšanā. Piekrītiet, ka problēmas atklāšana pēc labojumu nosūtīšanas pārbaudei ir ne tikai nepatīkama, bet arī ļoti laikietilpīga. Statiskā analīze, ja to izmanto regulāri, visas izmaiņas aplūko tieši jūsu datorā un ziņo par aizdomīgām vietām, strādājot ar kodu.

Un, ja jūs vai jūsu kolēģi joprojām neesat pārliecināti, vai ir vērts ieviest analizatoru, iesaku jums tagad sākt lasīt rakstu "Iemesli statiskā koda analizatora PVS-Studio ieviešanai izstrādes procesāTas pievēršas tipiskām izstrādātāju bažām, ka statiskā analīze prasīs viņu laiku un tā tālāk.

Ja vēlaties dalīties ar šo rakstu ar angliski runājošu auditoriju, lūdzu, izmantojiet tulkošanas saiti: Maksims Zvjagintsevs. Statiskā analīze: no darba sākšanas līdz integrācijai.

Avots: www.habr.com