🔵 🚸 🛒 静的分析-デートから統合まで 🏷️ 🤰🏼 😔

無限のコードレビューやデバッグにうんざりしていて、人生を単純化する方法を疑問に思うことがあります。そして、少し検索したり、偶然見つけたりすると、「静的分析」という魔法のフレーズを見ることができます。それが何であるか、そしてそれがあなたのプロジェクトとどのように相互作用することができるかを見てみましょう。

実際のところ、現代の言語で書くと、気付かないうちに静的アナライザーを通過します。事実、最新のコンパイラーは、コードの潜在的な問題に関する小さな警告セットを提供します。たとえば、VisualStudioでC ++コードをコンパイルすると、次のことがわかります。

この出力では、var変数が関数のどこでも使用されていないことがわかります。したがって、実際には、ほとんどの場合、単純な静的コードアナライザーを使用しています。ただし、Coverity、Klocwork、PVS-Studioなどのプロのアナライザーとは異なり、コンパイラーによって提供される警告は、ごく一部の問題しか示していません。

静的分析とは何か、およびそれを実装する方法がわからない場合は、この記事を読んで、この方法の詳細を確認してください。

なぜ静的分析が必要なのですか？

一言で言えば：加速と単純化。

静的分析を使用すると、言語構造の誤用からタイプミスまで、コード内のさまざまな問題を見つけることができます。たとえば、代わりに

auto x = obj.x;
auto y = obj.y;
auto z = obj.z;

次のコードを作成しました。

auto x = obj.x;
auto y = obj.y;
auto z = obj.y;

ご覧のとおり、最後の行にタイプミスがあります。たとえば、PVS-Studioは次の警告を発行します

。V537「y」アイテムの使用法の正確さを確認することを検討してください。

このエラーに手を突っ込んだい場合は、コンパイラエクスプローラーで既製の例を試してください。*クリック*。

そして、あなたが理解しているように、コードのそのような部分にすぐに注意を払うことが常に可能であるとは限らないので、なぜすべてがそれほど奇妙に機能するのか疑問に思って、良い時間デバッグのために座ることができます。

しかし、これは明らかな間違いです。しかし、開発者が言語の微妙な点を忘れたために、次善のコードを書いた場合はどうなるでしょうか。または、コードで未定義の動作を許可することもできます？残念ながら、このようなケースは完全にありふれたものであり、時間の大部分は、タイプミス、一般的なエラー、または未定義の動作を含む特定の作業コードのデバッグに費やされます。

静的分析が登場したのはこれらの状況のためです。これは、コード内のさまざまな問題を指摘し、ドキュメントでこのように記述する必要がない理由、その原因、および修正方法を説明する開発者向けのアシスタントです。外観の例を次に示します。*クリック*。

アナライザーが検出できるさらに興味深いエラーは、次の記事で見つけることができます。

ここで、この資料を読み、静的分析の有用性を確信した後、それをテストすることをお勧めします。しかし、どこから始めますか？新しいツールを進行中のプロジェクトに統合するにはどうすればよいですか？そして、チームを彼に紹介する方法は？これらの質問に対する回答は以下にあります。

注意。静的分析は、コードレビューなどの有用なものを置き換えたり否定したりするものではありません。これは、タイプミス、不正確さ、および危険な構造に事前に気づき、修正するのを支援することにより、このプロセスを補完します。間違った括弧を探したり、退屈な比較関数を読んだりするよりも、コードをレビューするときにアルゴリズムとコードの明確さに焦点を当てた方がはるかに生産的です。

0.楽器を知る

それはすべて試用版から始まります。実際、ツールを実際にライブで見たことがない場合、開発プロセスで何かを実装することを決定することは困難です。したがって、最初のステップは試用版をダウンロードすることです。

この段階で学習する内容：

アナライザーと対話する方法は何ですか。
アナライザーは開発環境と互換性がありますか。
現在、プロジェクトにはどのような問題がありますか。

必要なものをすべてインストールしたら、最初のステップはプロジェクト全体（Windows、Linux、macOS）の分析を実行することです。 Visual StudioのPVS-Studioの場合も、同様の図が表示されます

リスト

。重要なのは、通常、静的アナライザーは、コードベースが大きいプロジェクトに対して膨大な数の警告を発行するということです。プロジェクトはすでに機能しているため、すべてを修正する必要はありません。つまり、これらの問題は重大ではありません。ただし、最も興味深い警告を見ることができます必要に応じて修正します。これを行うには、出力をフィルタリングし、最も信頼性の高いメッセージのみを残す必要があります。 Visual Studio用のPVS-Studioプラグインでは、これはエラーのレベルとカテゴリでフィルタリングすることによって行われます。最も正確な出力を得るには、[高]と[一般]のみを有効のままにします。

リスト

実際、178の警告は、数千の警告よりもはるかに見やすくなっています。[中]

タブと[低]タブに適切な警告が表示されることがよくありますが、これらのカテゴリには、精度（信頼性）が低い診断が含まれます。 Windowsで作業するための警告レベルとオプションの詳細については、*をクリックしてください。

最も興味深いエラーを正常に確認した後（そしてそれらを正常に修正した後）、残りの警告を抑制する価値があります。これは、古い警告の間で新しい警告が失われないようにするためです。さらに、静的アナライザーはプログラマーのヘルパーであり、バグのリストではありません。:)

1.自動化

会議が終わったら、プラグインを構成してCIに統合します。これは、プログラマーが静的アナライザーの使用を開始する前に行う必要があります。重要なのは、プログラマーが分析をオンにするのを忘れたり、まったくオンにしたくない場合があるということです。これを行うには、すべての最終チェックを実行して、未検証のコードが一般的な開発ブランチに入らないようにする必要があります。

この段階で学習する内容：

ツールが提供する自動化オプション。
アナライザーはビルドシステムと互換性がありますか？

完璧なドキュメントがないため、サポートするために作成する必要がある場合があります。これは正常なことであり、喜んでお手伝いさせていただきます。:)では

、継続的統合（CI）サービスに取り掛かりましょう。どんなアナライザーでも大きな問題なくそれらに組み込むことができます。これを行うには、パイプラインに別のステージを作成する必要があります。これは通常、アセンブリとユニットのテストの後に見つかります。これは、さまざまなコンソールユーティリティを使用して行われます。たとえば、PVS-Studioは次のユーティリティを提供します。

PVS-Studio_Cmd.exe（ソリューションの分析、Windows上のC＃、C ++プロジェクト）
CLMonitor.exe（コンパイル監視）
pvs-studio-analyzer（Linux / macOSでのC ++プロジェクトの分析）
pvs-studio-dotnet（ソリューションの分析、Linux / macOS上のC＃プロジェクト）
pvs-studio.jar（Javaプロジェクトの分析）
PlogConverter（ログファイルコンバーター）

分析をCIに統合するには、次の3つのことを行う必要があります。

アナライザーをインストールします。
分析を実行します。
結果を提供します。

たとえば、PVS-StudioをLinux（Debian-base）にインストールするには、次のコマンドを実行する必要があります。

wget -q -O - https://files.viva64.com/etc/pubkey.txt \
    | sudo apt-key add -
sudo wget -O /etc/apt/sources.list.d/viva64.list \
  https://files.viva64.com/etc/viva64.list
  
sudo apt-get update -qq
sudo apt-get install -qq pvs-studio

Windowsシステムでは、パッケージマネージャーからアナライザーをインストールすることはできませんが、コマンドラインからアナライザーを展開することはできます。

PVS-Studio_setup.exe /verysilent /suppressmsgboxes 
/norestart /nocloseapplications

PVS-StudioをWindowsシステムにデプロイする方法の詳細については*こちら*をご覧ください。

インストール後、分析を直接実行する必要があります。ただし、これはコンパイルとテストに合格した後でのみ行うことをお勧めします。これは、静的分析には通常、コンパイルの2倍の時間がかかるためです。

起動方法はプラットフォームとプロジェクトの詳細に依存するため、例としてC ++（Linux）オプションを示します。

pvs-studio-analyzer analyze -j8 \
                            -o PVS-Studio.log
plog-converter -t errorfile PVS-Studio.log --cerr -w

最初のコマンドは分析し、2番目のコマンドはレポートをテキスト形式に変換して画面に表示し、警告の場合は0以外の戻りコードを返します。同様のメカニズムは、エラーメッセージが存在する場合にアセンブリをブロックするのに役立ちます。ただし、いつでも-wフラグを削除して、警告を含むアセンブリをブロックすることはできません。

注意。テキスト形式は不便です。これは単なる例です。より興味深いレポート形式であるFullHtmlに注意してください。それはあなたがあなたのコードをナビゲートすることを可能にします。

CIでの分析の設定について詳しくは、記事「PVS-Studioと継続的な統合」（Windows）または「TravisCIでPVS-Studioを設定する方法」を参照してください。「（Linux）

わかりました。ビルドサーバーにアナライザーを設定しました。未確認のコードを誰かがアップロードした場合、確認段階になり、問題を見つけることができますが、プロジェクトを確認した後ではなく効率的に確認できるため、これはあまり便利ではありません。ブランチがどのようにマージされたか、およびその前のプルリクエスト段階。

一般に、プルリクエストの分析の設定は、CIでの通常の分析の開始と大差ありません。変更されたファイルのリストを取得する必要がある場合を除きます。通常、差をリクエストすることで取得できます。 gitを使用したブランチ間：

git diff --name-only HEAD origin/$MERGE_BASE > .pvs-pr.list

次に、このファイルのリストをアナライザーに渡す必要があります。たとえば、PVS-Studioでは、これは-Sフラグを使用して実装されます。

pvs-studio-analyzer analyze -j8 \
                            -o PVS-Studio.log \
                            -S .pvs-pr.list

プルリクエストの分析について詳しくは、*こちら*をご覧ください。CIが記事で指定されているサービスのリストに含まれていない場合でも、このタイプの分析の理論に関する一般的なセクションが役立ちます。

プルリクエストの分析を構成することで、警告を含むコミットをブロックし、未検証のコードが通過できない境界を作成できます。

これはすべてうまくいっていますが、すべての警告を1か所で確認できるようにしたいと思います。静的アナライザーからだけでなく、ユニットテストまたは動的アナライザーからも。これにはさまざまなサービスとプラグインがあります。たとえば、PVS-Studioには、SonarQubeに統合するためのプラグインがあります。

2.開発者のマシンへの統合

次に、日常の開発で使用するためにアナライザーをインストールして構成します。この時点で、あなたはすでにほとんどの作業方法に精通しているので、これは最も簡単な部分と言えます。

最も簡単なオプションとして、開発者は必要なアナライザーを自分でインストールできます。ただし、これには時間がかかり、開発の邪魔になるため、インストーラーと必要なフラグを使用してこのプロセスを自動化できます。自動インストール用のPVS-Studioにはさまざまなフラグがあります。ただし、Chocolatey（Windows）、Homebrew（macOS）、またはLinux用の数十のオプションのようなパッケージマネージャーは常に存在します。

次に、必要なプラグインをインストールする必要があります。たとえば、Visual Studio、IDEA、ライダーなど

3.毎日の使用

この段階で、日常の使用でアナライザーの作業を高速化する方法についていくつか説明します。プロジェクト全体の完全な分析には非常に長い時間がかかりますが、プロジェクト全体で一度にコードを変更する頻度はどれくらいですか？コードベース全体にすぐに影響を与えるほど大規模なリファクタリングはほとんどありません。一度に変更されるファイルの数が10を超えることはめったにないので、それらを分析することは理にかなっています。このような状況では、増分分析モードがあります。心配しないでください。これは別のツールではありません。これは、変更されたファイルとその依存関係のみを分析できる特別なモードです。プラグインがインストールされたIDEで作業している場合、これはビルド後に自動的に行われます。

アナライザーが最近変更されたコードの問題を検出した場合、アナライザーはそれを独自に報告します。たとえば、PVS-Studioは通知を使用してこれについて通知

お知らせ

します。言うまでもなく、開発者にツールを使用するように指示するだけでは不十分です。私たちはどういうわけか彼らにそれが何であるか、そしてそれがどのようであるかを伝える必要があります。たとえば、PVS-Studioのクイックスタートに関する記事は次のとおりですが、好みのツールについて同様のチュートリアルを見つけることができます。

このような記事は、日常の使用に必要なすべての情報を提供し、それほど時間はかかりません。:)

ツールを理解する段階でさえ、最初の起動の1つで多くの警告を抑制しました。残念ながら、静的アナライザーは理想的ではないため、誤検知が発生することがあります。通常、これらを抑制するのは簡単です。たとえば、Visual StudioのPVS-Studioプラグインでは、ボタンを1つクリックするだけで十分

です。ただし、抑制するだけではありません。たとえば、サポートする問題を報告できます。誤検知を修正できる場合は、将来の更新で、コードベースに固有の誤検知がますます少なくなることに気付く可能性があります。

統合後

そのため、静的分析を開発プロセスに統合するすべての段階を経ました。 CIでこのようなツールを設定することの重要性にもかかわらず、開始する最も重要な場所は開発者のコンピューターです。結局のところ、静的アナライザーは、コードが無価値であるとあなたから遠く離れた場所で言う裁判官ではありません。それどころか、あなたが疲れているかどうかを促し、何かを忘れた場合は思い出させるのはアシスタントです。

ただし、定期的に使用しないと、静的分析によって開発が大幅に簡素化される可能性は低くなります。結局のところ、開発者にとっての最も重要な利点は、複雑で物議を醸すコードセクションを見つけることではなく、それらを早期に検出することにあります。編集がテストのために行われたときに問題を見つけることは不快であるだけでなく、非常に長いことにも同意します。静的分析を定期的に使用すると、コンピューター上のすべての変更を確認し、コードの作業中に疑わしい場所を報告します。

また、あなたや同僚がアナライザーを実装する価値があるかどうかまだわからない場合は、「開発プロセスでPVS-Studio静的コードアナライザーを実装する理由」の記事を読むことをお勧めします。"。静的分析には時間がかかるなど、開発者の一般的な懸念に対処します。

この記事を英語を話す聴衆と共有したい場合は、翻訳リンクを使用してください：MaximZvyagintsev。静的分析：はじめにから統合まで。

静的分析-デートから統合まで

なぜ静的分析が必要なのですか？

0.楽器を知る

1.自動化

2.開発者のマシンへの統合

3.毎日の使用

統合後

More articles: