Философия статического анализа кода: у нас 100 программистов, анализатор нашел мало ошибок, он бесполезен?




Люди очень часто неправильно думают про статический анализ кода.

Часто можно встретить такое мнение, выраженное в следующем абзаце:

У нас большой проект. В нем работает несколько десятков (сотен) программистов. То есть тот самый, про который вы пишите, что нужен статический анализ. Я скачал анализатор кода, выполнил проверку и нашел очень мало ошибок. Очевидно, что анализатор кода просто бесполезен!

Увы и ах, но, похоже, способ продвижения статического анализа кода через идею проверки open source проектов играет с людьми злую шутку. Люди ОЖИДАЮТ, что запустив анализатор на случайном проекте, они ОБЯЗАТЕЛЬНО найдут кучу ошибок. Конечно же это не так, и вот почему.

Предположим, у нас есть проект, в котором участвует 10 программистов, 3 тестировщика и 1 руководитель проекта. Рассмотрим временной интервал в один месяц (21 рабочий день). Интервал выбран произвольно и на самом деле не важен.

Пусть в первый рабочий день программисты писали код и внесли в него 5 ошибок. На следующий день тестировщики нашли эти 5 ошибок и отписали программистам. На третий день программисты исправили 5 ошибок. Вот у нас образовалась такая "тройка" или когорта: один день делаем ошибки, второй день находим, в третий – исправляем.

Очевидно, что эта когорта движется во времени, и каждый день ошибки добавляются, обнаруживаются и исправляются. Хотя в каждый момент времени активно не так уж много ошибок, но "окно" движется и общее количество проделанной работы по выявлению и исправлению ошибок довольно существенно. В последний день 21-дневного рабочего цикла руководителю проекта это надоело, он наорал на всех и все ошибки были исправлены. В результате, в конце месяца, в проекте 0 ошибок. Это, конечно, продлится недолго, но начальник рад красивому итогу месяца.

Предположим, в этот 21-й день кто-то из программистов скачал анализатор кода, выполнил проверку, получил 0 ошибок по делу (и парочку бестолковых срабатываний) и делает, на первый взгляд, очевидный, но неверный вывод: анализаторы кода просто не работают и не нужны!

Теперь рассмотрим движение нашей когорты в случае, если анализатор кода используется регулярно.

В первый день программисты также допустили 5 ошибок. Но благодаря автоматическому анализу кода, 3 ошибки были сразу найдены и исправлены ещё на этапе кодирования. Поэтому, на следующий день, тестировщики найдут всего 2 ошибки. На третий день программистам будет намного меньше работы по правкам, так как часть ошибок была исправлена ещё в первый день. Получается, что анализатор сократил количество работы по устранению ошибок более чем в два раза, что существенно ускоряет процесс разработки проекта в целом.

Конечно, числа выше были приведены условно. Самое главное, что можно сделать правильный важный вывод. Статический анализ наиболее полезен не как разовое действие, а как регулярный процесс.



Используйте PVS-Studio для поиска ошибок в C, C++ и C# коде

Предлагаем попробовать проверить код вашего проекта с помощью анализатора кода PVS-Studio. Одна найденная в нём ошибка скажет вам о пользе методологии статического анализа кода больше, чем десяток статей.

goto PVS-Studio;


А ты совершаешь ошибки в коде?

Проверь с помощью
PVS-Studio

Статический анализ
кода для C, C++ и C#

goto PVS-Studio;
На нашем сайте мы используем cookie для сбора информации технического характера.
Если вы не согласны, пожалуйста, покиньте сайт. Подробнее →
Больше не показывать