该部分是关于如何将静态分析工具集成到您的日常工作流程中。
确保您的静态分析采用在您的项目中取得成功,确保工具易于使用且开发人员可以轻松访问,提前是提供有用的可操作信息。这最好在开发人员使用的环境(IDE)中实现,如 Eclipse 或 Visual Studio。静态分析警告的提供方式与IDE中的编译器错误相同,并且这些警告会在代码中突出显示,以便更轻松地进行分析和修复。例如,请参阅 Parasoft Jtest 在Eclipse中集成的静态分析警告的屏幕截图:
那么开发人员在分析每个警告时会做些什么呢以在流程图中描述,如下图所示:
第1步:聚合和过滤警告
它首先聚合和过滤静态分析结果,这是确定优先级并关注关键警告的关键第一步。通常,质量保证和团队负责人会考虑质量目标,并围绕此目标构建分析配置。例如,为了提高安全性,将启用与安全性相关的检查器以及诸如CERT C的安全编码标准。
第2-4步:调查,确定优先级并修复警告
然后,开发人员根据团队制定的政策和产品的成熟度,调查并修复他们发现的警告。在绿地项目(新建项目)中,大多数警告都会被调查并优先处理,因为代码量相对较小,而在成熟的后期阶段,过滤和优先级将更加严格,因此开发人员只能处理真正的关键警告。在任何一种情况下,过程都是相同的。
在响应静态分析警告进行更改后,将代码检入版本控制并在下一次构建期间再次进行分析。这种简短而紧凑的反馈循环在编写和修改代码时极大地提高了代码的质量和安全性。
集成到构建系统和持续集成管道中
静态分析工具和构建系统的主要集成点是通过命令行界面。以这种方式使用的静态分析有点像构建结构中的编译器。文件以相同的方式处理,尽管输出不是可执行文件,而是存储在存储库中的结果,由文件和内部版本编 索引。
例如,通过 Parasoft C/C++test,这由Parasoft的 告和分析系统(Parasoft DTP)处理,该系统既是存储库,也是分析结果的智能引擎。该分析和附带信息将反馈给每个开发人员,并通过Parasoft的门户 站提供给管理人员和团队负责人。
在上图中,您将看到我们如何将Parasoft静态分析工具集成到持续集成管道中。Parasoft DTP是警告的中央存储库和分析引擎。
总结
将静态分析集成到日常工作流中需要开发人员直接在IDE中访问静态分析,以及执行项目范围分析, 告和管理的能力。直接支持开发人员使用代码,以及团队负责人和管理人员,他们可以使用自己的趋势信息和 告访问相同的信息,这对于在项目中完全利用静态分析至关重要。
想要了解Parasoft、Parasoft SOAtest、Parasoft Virtualize更多信息或资源的朋友,请点击这里~
标签:
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!