在評估靜態(tài)分析軟件時，有許多選項可供選擇：付費版本、免費或社區(qū)版本，以及任何人都可以查看、使用和修改的開源軟件。

當在探索這些選擇時，免費的靜態(tài)分析工具可能聽起來很劃算，但它們真的能滿足您的編程需求嗎？本篇文章將討論免費靜態(tài)分析工具的優(yōu)點和局限性，為您提供靜態(tài)分析工具的選型參考。

什么是免費的靜態(tài)分析工具？

靜態(tài)分析是一種排除錯誤的方法，它在不執(zhí)行程序的情況下自動檢查源代碼。通過這種方式，開發(fā)人員可以獲得洞察能力，以幫助他們確保代碼庫兼容、安全、可靠。靜態(tài)分析在軟件開發(fā)生命周期（SDLC）的實施（編碼）階段、集成/構建和測試階段執(zhí)行，把檢測和修復左移到生命周期早期，來確保代碼安全。

在檢查源代碼的安全漏洞、質(zhì)量和性能問題，和/或不符合標準等方面，免費的靜態(tài)分析工具幾乎是沒有成本的。

靜態(tài)代碼分析、靜態(tài)應用程序安全測試（SAST）和靜態(tài)應用程序質(zhì)量測試（SAQT）工具提供了一種方法，可以根據(jù)一組編碼規(guī)則來分析項目的代碼庫，以幫助強制遵守各種編碼標準。靜態(tài)分析工具通過掃描項目的代碼庫來識別潛在的漏洞、bug和不良編碼實踐。好的靜態(tài)分析工具可以準確無誤地做到這一點，同時在作為持續(xù)集成循環(huán)的一部分運行時，分析速度也足夠地快。

開發(fā)人員可以使用好幾種不同的的靜態(tài)分析工具，這具體取決于他們的偏好、目標和業(yè)務需求，但并不是所有的靜態(tài)分析工具開發(fā)方式都是相同的。了解工具的工作原理非常重要，因為這樣才能確定哪種工具更適合您。例如，如果您所在的行業(yè)受到編碼標準的限制，那么您選擇的靜態(tài)分析工具應該支持這些標準。免費的靜態(tài)分析工具可能會提供編程語言支持、編碼標準支持或最佳實踐功能，但也可能不提供。免費的靜態(tài)分析工具范圍很廣，從類似lint-like的簡單工具到與先進自動化代碼檢查平臺捆綁的bug檢測工具，都囊括其中。在評估潛在的靜態(tài)分析解決方案時，請考慮您的需求，并權衡開源/免費靜態(tài)分析工具與商業(yè)工具的利弊。

免費的靜態(tài)分析工具有什么優(yōu)點？

免費的靜態(tài)分析工具對于那些想要探索其工作原理，以及如何在開發(fā)過程中實施并分配給其他成員的開發(fā)人員來說，還是非常有用的。

成本效益

這一點顯而易見：免費的靜態(tài)分析工具不花一分錢，開源工具比商業(yè)解決方案（至少在最初）更具成本效益。這個優(yōu)勢讓您在構建更強大的開發(fā)流水線時，能夠騰出資金分配給其他地方。免費的工具也讓您有時間思考，在擴大規(guī)模時是否需要專有解決方案的額外支持，同時也能分析您的代碼，修復安全和質(zhì)量問題。

敏捷性和靈活性

開發(fā)人員可以通過使用開源/免費軟件，自由地發(fā)揮創(chuàng)意，并且根據(jù)自己的業(yè)務需要，測試他們對代碼做的所有修改。免費的軟件使您可以自由地了解程序中復雜的細節(jié)，以及如何在整個企業(yè)中分配它，而不必在做好準備前就投入任何一家公司或軟件套件。如果您可以訪問源代碼，那么這就像使用開源軟件一樣，您能夠測試這個工具的功能，甚至可以對產(chǎn)品進行逆向工程——所有的這些您都可以自由安排時間。

社區(qū)

一些由社區(qū)驅(qū)動的免費/開源靜態(tài)分析工具，創(chuàng)造了一個鼓勵創(chuàng)造性貢獻和協(xié)作的社交環(huán)境。您可以輕松地與同行互動并向他們學習，如果您想壯大團隊，這里還能找到頂尖人才。不僅如此，社區(qū)讓每個人都可以看到工具的新更改和實施，您還可以與其他開發(fā)人員討論這些更改如何影響軟件的未來。從某些方面來說，由于多個用戶一直在查看代碼，該工具的社區(qū)幫助其保持了代碼安全（但從另一個方面來說，免費軟件會帶來更大的安全風險，因為任何人都可以更新代碼）。

免費靜態(tài)分析工具的局限性是什么？

開源和免費的靜態(tài)分析工具的局限性在于，它們往往會伴隨著更大的開發(fā)風險，而且根據(jù)您所需的靜態(tài)分析技術，它們不一定適合您的項目。因為靜態(tài)分析的一些技術會提供不同層面的分析結果。例如，lint工具是一個基本的靜態(tài)分析器，它檢查源代碼是否存在編程和風格錯誤——這可能完全滿足了您的需求，提高了代碼質(zhì)量。但如果您需要更復雜的分析和指標，例如圈復雜性（cyclomatic complexity，代碼復雜度的衡量標準），您就需要一個更高級的靜態(tài)分析解決方案。免費的靜態(tài)分析工具可能帶來的限制還包括以下方面：

可靠的支持

使用免費工具，很多事情都只能自力更生，因為缺乏用戶友好的界面，使得一些應用程序難以設置和使用。開源工具可能提供社區(qū)支持，也可能快速解決問題，但您無法得到特定支持團隊（與您簽訂了服務等級協(xié)議（SLA）的團隊）的保證。當有新的修復或版本時，您還需要負責手動升級，而無法獲得經(jīng)過專屬軟件團隊徹查和處理的自動/易于下載的產(chǎn)品發(fā)布和升級。

安全風險

對于免費的靜態(tài)分析工具來說，安全性可能不是原始開發(fā)人員的首要考慮因素，因為他們通常把更多的精力放在商業(yè)的工具上。開源靜態(tài)分析工具有一把雙刃劍，在多個開發(fā)人員監(jiān)控源代碼并密切關注漏洞的同時，不良行為者也可以潛入并修改代碼以達到自己的惡意目的。專有的SAST工具（如Klocwork）遵循安全編碼實踐，并支持CWE，OWASP，CERT等安全標準，能夠盡早發(fā)現(xiàn)和修復安全問題，并證明代碼符合這些標準。

代碼質(zhì)量、可靠性和合規(guī)性

當涉及到編碼標準時，許多免費和開源的靜態(tài)分析工具提供的功能很有限。例如，許多開源的靜態(tài)分析軟件工具僅限于提供代碼的結構分析。如果沒有高級數(shù)據(jù)流分析（即抽象解釋、符號邏輯和定理證明等運行時模擬技術），你將無法找到那些違反了重要的安全和防護標準規(guī)則的實例。

選擇一個支持現(xiàn)有編碼標準的靜態(tài)分析工具，以及為您的企業(yè)定制自己的標準，這才是關鍵。靜態(tài)分析工具（如Helix QAC）可自動監(jiān)控標準合規(guī)性，從而減少記錄所需的時間。有效的靜態(tài)分析解決方案將快速、徹底地評估代碼復雜性，并檢查是否符合編碼標準，如MISRA、C/C++等，然后生成證明合規(guī)性的支持文檔，并保持代碼的高質(zhì)量。

許可證

免費的方案通常會限制企業(yè)中分發(fā)的許可證數(shù)量，或是限制代碼行數(shù)。當您只想嘗試一下這些工具，或者只有少數(shù)開發(fā)人員需要試用，亦或是代碼量有限的時候，免費工具是不錯的。但隨著業(yè)務的增長，您也必須擴展工具才能滿足新的需求。商業(yè)的靜態(tài)分析解決方案可以針對您的情況提供適合的許可選項。商業(yè)公司能夠為您提供支持，輕松添加許可證和用戶友好的特性和功能，?從而實現(xiàn)快速穩(wěn)定的擴展。

為什么選擇Perforce靜態(tài)分析工具？

免費的靜態(tài)分析工具可以工作，但它們可能無法提供滿足您編程要求的所有特性、功能和分析級別。

Perforce靜態(tài)分析解決方案已深受客戶信賴超30年，為各行各業(yè)的關鍵任務項目團隊提供了確切精準的結果。

Helix QAC和Klocwork已通過認證，符合關鍵的功能安全標準，如ISO 26262、IEC 61508、EN 50128、IEC 62304等，也覆蓋了重要的編碼標準，并且它們提供的誤報和漏報更少。

作者簡介：

斯圖爾特·福斯特在移動和軟件開發(fā)方面擁有超過10年的豐富經(jīng)驗，負責管理消費應用和企業(yè)軟件的產(chǎn)品開發(fā)。目前，他負責管理Klocwork和Helix QAC——Perforce的代碼質(zhì)量管理解決方案。他致力于開發(fā)符合客戶業(yè)務需求的產(chǎn)品、特性和功能，并幫助開發(fā)人員生成安全、可靠、無缺陷的代碼。斯圖爾特擁有Carleton大學的信息技術、交互式多媒體和設計學士學位，以及Algonquin應用藝術與技術學院的多媒體設計高級文憑。

文章來源：http://bit.ly/3lgqQrx