静态扫描的新利器

Posted 2022-09-01 CrissChan

静态代码检查

静态测试是指不运行被测程序本身，通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性。而动态测试是通过运行被测程序来检查运行结果与预期结果的差异，并分析运行效率和健壮性等指标。静态测试被测对象是各种与软件相关的有必要进行测试的产物，是对需求规格说明书、软件设计说明书、源程序做结构分析、流程图分析、符号执行来找错。静态测试可以手工进行，充分发挥人的思维的优势，并且不需要特别的条件，容易展开，但是静态测试对测试人员的要求较高，至少测试人员需要具有编程经验。静态测试主要包括各阶段的评审、代码检查、程序分析、软件质量度量等，用于对被测程序进行特性分析。其中评审通常有人来执行；代码检查程序分析、软件质量度量等即可人工完成，也可用工具来完成，但工具的作用和效果相对更大更好一些。

从上面我们可以了解到代码检查是静态测试中的关键一步，那么代码检查到底是个什么工作内容吗？

代码检查包括代码走查、桌面检查、代码审查等，主要检查代码和设计的一致性，代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性等方面；可以发现违背程序编写标准的问题，程序中不安全、不明确和模糊的部分，找出程序中不可移植部分、违背程序编程风格的问题，包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。从代码检查的定义中我们可以看出代码检查不需要自动任何服务就可以通过代码扫描完成，全部过程都是按照预定义好的规则完成的，只要针对不同的编程语言设计好不同的规则就可以对其进行代码扫描，完成代码检查任务了。如果能将其放到一个工具中完成，那么人工可以完全不参与，是一个完全自动化的流程。这也就导致了通过代码扫描完成的代码检查工作只是一个代码预定规则的检查，并不能保障其编写逻辑符合预期设计ÿ