政敵 프로그램 分析 (static program analysis)은 實際 實行 없이 컴퓨터 소프트웨어를 分析하는 것을 말한다. 大部分의 境遇에 分析은 소스 코드 의 버전 中 하나의 形態로 遂行되며, 가끔은 目的 파일  形態로 分析된다. 이에 反하여 實行 中인 프로그램을 分析하는 것을 動的 프로그램 分析 이라고 한다. ^[1]

이 用語는 프로그램의 理解를 통해 人間에 依한 自動化된 툴 을 使用한 分析, 또는 코드 檢討 에 適用된다. 소프트웨어 調査 와  소프트웨어 檢討 는 後者의 境遇에 使用된다.

理由 [ 編輯 ]

툴들에 依해 遂行되는 分析의 精巧함은 但只 各 構文과 正義의 行動을 考慮하는지부터 完全한 소스 코드를 包含하는지까지 多樣하다. 分析에 依해 얻어지는 情報의 使用은 可能한 코딩 에러를 强調하는 것부터 주어진 프로그램에 對한 屬性을 數學的으로 立證하는 整形 技法 까지 다양하다.

소프트웨어 메트릭 과 리버스 엔지니어링 은 政敵 分析의 形態로 描寫될 수 있다. 소프트웨어 매트릭을 끌어내는 것과 政敵 分析은 소프트웨어 品質 目標 (software quality objective)라고 불리는 것을 定義함으로써 漸漸 서로를 效率的으로 使用하게 된다. 特히 임베디드 시스템에서 그렇다. ^[2]

시스템에서 使用되는 소프트웨어의 屬性들의 檢査와 潛在的인 脆弱한 코드의 位置 찾기는 政敵 分析의 商業的 使用으로서 漸次 增加 中이다. ^[3]  例를 들면 아래의 産業들은 政敵 코드 分析의 使用을 漸漸 精巧하고 複雜해지는 소프트웨어의 質的 向上이라는 認識을 갖고 있다.

1. 醫學用 소프트웨어
2. 原子力 關聯 소프트웨어
3. 航空 關聯 소프트웨어

VDC 리서치는 2012年 28.7%의 임베디드 소프트웨어 엔지니어들이 現在 政敵 分析 툴을 使用 中에 있으며, 2年 안에 39.7%가 使用할 것이라고 分析했다. ^[4]  2010年에는 유럽 리서치 프로젝트에서 인터뷰에 應한 60%의 開發者들이 적어도 自身의 基本 IDE에 內藏된 政敵 分析器를 使用한다고 調査되었다. 그러나 但只 10%의 職員들만이 追加的인 分析 툴을 使用하였다. ^[5]

또한 應用 프로그램 保安 産業에서 政敵 애플리케이션 保安 테스트 ( Static Application Security Testing (SAST))가 使用되고 있다. 事實 SAST는 保安 開發 生命週期 (Security Development Lifecycles (SDLs))에서 重要한 部分이며, ^[6]  現在 소프트웨어 會社들에게도 마찬가지이다. ^[7]

툴의 種類 [ 編輯 ]

OMG ( 客體 管理 그룹 )는 소프트웨어 品質 測定과 評價에 必要한 소프트웨어 分析의 種類에 關聯된 硏究를 하였다. 이 文書는 "How to Deliver Resilient, Secure, Efficient, and Easily Changed IT Systems in Line with CISQ Recommendations"이며, 세 水準의 소프트웨어 分析을 敍述한다. ^[8]

유닛 레벨

프로그램 文脈과의 連結 없이 특정한 프로그램 안이나 서브루틴에서 發生하는 分析.

技術 레벨

問題를 찾고 明白한 肯定誤謬를 避하기 위해서, 全體 프로그램의 全體的이고 意味的인 觀點을 얻기 위하여 유닛 프로그램들 間의 相互作用들을 考慮하는 分析.

시스템 레벨

유닛 프로그램들 間의 相互作用들은 考慮하지만 한 技術이나 한 言語에 制限되지 않는 分析.

整形 方法論 [ 編輯 ]

整形 方法論은 그것의 結果가 純粹하게 嚴格한 數學的 方法論을 통해 얻어지는, 소프트웨어 分析에 適用되는 用語이다.

停止 問題 에 對한 簡單한 縮小版으로, 任意의 프로그램에서의 모든 可能한 런타임 에러들을 찾는 것은 決定不可能 하다고 證明될 수 있다. (任意의 프로그램이 런타임 에러들을 보여주든지 아니든지 恒常 正確한 答을 하는 數學的 方法論은 存在하지 않는다.) 이 結果는 쿠르트 괴델 이나 앨런 튜링 의 硏究부터 始作된다. 많은 決定不可能한 質問들 中에서 有用한 近似 解決法을 얻는 試圖는 可能하다.

아래는 整形 政敵 分析 具現 技術들이다. ^[9]

• 모델 確認 은 시스템이 有限 狀態 를 갖거나, 抽象畫 에 依해 柔한 狀態로 될 수 있다고 여긴다.
• 데이터 흐름 分析 은 可能한 값들의 集合에 對한 情報를 모으는 格子 基盤 技法이다.
• 要約 解釋
• 흰서리 論理
• 記號 實行 은 코드의 特定 時點에서 變異된 變數들의 값들을 表現하는 數學的 表現들을 끌어낼 때 使用된다.

같이 보기 [ 編輯 ]

• 形象 解釋
• 形象 檢證
• 코드 感謝

各州 [ 編輯 ]

參考 文獻 [ 編輯 ]

• Syllabus and readings for Alex Aiken ’s Stanford CS295 course.
• Ayewah, Nathaniel; Hovemeyer, David; Morgenthaler, J. David; Penix, John; Pugh, William (2008). “Using Static Analysis to Find Bugs” . 《IEEE Software》 25 (5): 22?29. doi : 10.1109/MS.2008.130 . 2009年 7月 26日에 原本 文書 에서 保存된 文書 . 2015年 10月 27日에 確認함 .  
• Brian Chess, Jacob West (Fortify Software) (2007). 《Secure Programming with Static Analysis》. Addison-Wesley. ISBN   978-0-321-42477-8 .  
• Flemming Nielson, Hanne R. Nielson, Chris Hankin (1999, corrected 2004). 《Principles of Program Analysis》. Springer. ISBN   978-3-540-65410-0 .   CS1 管理 - 여러 이름 ( 링크 )
• "Abstract interpretation and static analysis," Archived 2016年 4月 3日 - 웨이백 머신 International Winter School on Semantics and Applications 2003, by David A. Schmidt

소스 [ 編輯 ]

• Kaner, Cem; Nguyen, Hung Q; Falk, Jack (1988). Testing Computer Software (Second ed.). Boston: Thomson Computer Press. ISBN 0-471-35846-0 .
• Static Testing C++ Code: A utility to check library usability

外部 링크 [ 編輯 ]

• Code Quality Improvement - Coding standards conformance checking (DDJ)
• Competition on Software Verification (SV-COMP)
• Episode 59: Static Code Analysis Interview ( Podcast ) at Software Engineering Radio
• Implementing Automated Governance for Coding Standards Explains why and how to integrate static code analysis into the build process
• Integrate static analysis into a software development process ^{[ 깨진 링크 ( 過去 內容 찾기 )]}
• . NET Static Analysis (InfoQ)
• Static Code Analysis - Polyspace
• The SAMATE Project , a resource for Automated Static Analysis tools