https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Statische_Code-AnalyseStatische Code-Analyse - Versionsgeschichte2026-05-21T14:24:06ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Statische_Code-Analyse&diff=660826&oldid=previmported>Aka: /* Verfahren */ typografische Anführungszeichen, Kleinkram2025-04-23T07:04:34Z<p><span class="autocomment">Verfahren: </span> typografische Anführungszeichen, Kleinkram</p>
<p><b>Neue Seite</b></p><div>'''Statische Code-Analyse''' oder kurz '''statische Analyse''' ist ein [[statisches Software-Testverfahren]], das zur [[Übersetzungszeit]] durchgeführt wird. Der [[Quelltext]] wird hierbei einer Reihe formaler Prüfungen unterzogen, bei denen bestimmte Sorten von [[Programmfehler|Fehlern]] entdeckt werden können, noch bevor die entsprechende Software (z.&nbsp;B. im [[Modultest]]) ausgeführt wird. Die Methodik gehört zu den [[Falsifizierung|falsifizierenden]] Verfahren, d.&nbsp;h., es wird die Anwesenheit von Fehlern bestimmt.<br />
<br />
In Anlehnung an das klassische Programm [[Lint (Programmierwerkzeug)|''Lint'']] wird der Vorgang auch als ''linten'' ({{enS|''linting''}}) bezeichnet.<br />
<br />
== Methodischer Zusammenhang ==<br />
=== Einordnung ===<br />
Im Rahmen der [[Softwaretest]]verfahren ist die Statische Code-Analyse den [[White-Box-Test]]-Verfahren zuzuordnen (man benötigt den [[Quelltext|Quellcode]]). Die Analyse kann durch manuelle Inspektion erfolgen, aber auch automatisch durch ein Programm. Man spricht dann von ''statischer'' Analyse, da die zu testende Software in Form von Algorithmen und Daten in ihrer Formulierung und Beschaffenheit (''statisch'') dem Prüfer (oder Werkzeug) vor''liegt''.<br />
<br />
=== Abgrenzung ===<br />
Vorläufer der statischen Analyse sind die Prüfverfahren der [[Normierte Programmierung|normierten Programmierung]] und die Werkzeuge zur Erkennung von Code-Mustern, die sogenannten [[Style Checker]].<br />
<br />
[[Dynamisches Software-Testverfahren|Dynamische Code-Analyse]] setzt im Gegensatz zur statischen Analyse ein laufendes Programm voraus. Ein dynamisches [[Pendant]] zur statischen Code-Analyse zur [[Compilezeit]] ist z.&nbsp;B. das [[Profiler (Programmierung)|Profiling]] zur [[Laufzeit (Informatik)|Laufzeit]].<br />
<br />
== Verfahren ==<br />
Neben dem gewissenhaften Studium von Quelltext durch Entwickler ist es möglich, viele inhaltliche Fehler werkzeuggestützt oder automatisch zu erkennen. Die Bandbreite reicht von der Sicherstellung von einfachen Coding-Standards (z.&nbsp;B. ein <code>return</code>-Statement pro Funktion) über die Prüfung von Typumwandlungen und Bereichsgrenzen über die Suche nach bestimmten Arten von [[Speicherleck]]s bis hin zur technischen [[Korrektheit (Informatik)|Verifikation]] von Quelltext.<br />
<br />
Einfache Analysen sind häufig bereits im [[Compiler]] (Übersetzer) einer [[Programmiersprache]] integriert, z.&nbsp;B. die Prüfung auf Initialisierung einer Variablen. Darüber hinaus gibt es Methoden, die den Programmierstil auf Ästhetik und Pragmatik prüfen, nämlich die [[Style Checker|stilistischen Methoden]]. Allerdings werden häufig nur Warnmeldungen angezeigt, die ignoriert werden können. Bei sogenannten [[Profiler (Programmierung)|Profilern]] wird zusätzlicher Objektcode generiert, welcher Aussagen über Codeabdeckung und Codefrequentierung generiert.<br />
<br />
Semantik-basierte statische Analysatoren vereinfachen die Aufgabe der Durchsicht großer Programmteile durch systematische Überprüfungen auf angreifbare Stellen wie:<br />
<br />
* [[Race Condition]]s<br />
* [[Formatstring-Angriff]]e<br />
* [[Pufferüberlauf|Pufferüberläufe]]<br />
* [[Speicherleck]]s<br />
* Zugriffe außerhalb gültiger Grenzen („Out of Bound“) bei [[Feld (Datentyp)|Arrays]]<br />
* Division durch 0<br />
<br />
Der Einsatz von statischen Analyseverfahren wird mittlerweile von Safety-Normen wie [[ISO 26262]], [[IEC 61508]] oder [[DO-178C]] für sicherheitsrelevante Software vorgeschrieben.<br />
<br />
== Werkzeuge ==<br />
{{Hauptartikel|Liste von Werkzeugen zur statischen Codeanalyse}}<br />
Als „Klassiker“ auf diesem Gebiet sind neben [[Lint (Programmierwerkzeug)|Lint]] auch [[Checkstyle]], [[FindBugs]] und [[PMD (Software)|PMD]] für [[Java (Programmiersprache)|Java]] oder [[Cppcheck]] für C/C++, [[Splint (Software)|Splint]] für C oder [[FxCop]] bzw. [[StyleCop]] für C# zu nennen.<br />
<br />
Derartige Werkzeuge können nicht nur alleinstehend laufen, sondern auch integriert in die Entwicklungsumgebung bzw. in den [[Kontinuierliche Integration|Build Server]]. Sie beschränken sich nicht nur auf Kodierungsregeln wie beispielsweise die [[MISRA-C]]-Regeln, sondern erkennen auch funktionale und technische Fehler, potentielle Bugs sowie auch qualitative Schwachstellen im Code (so genannte ''{{lang|en|[[Code-Smell]]s}}''), wie zum Beispiel [[Code-Duplizierung|duplizierten Code]] (auch Software-Klone genannt).<br />
<br />
Einige Werkzeuge können den Code auch auf sicherheitsrelevante Programmierfehler wie zum Beispiel [[Pufferüberlauf|Pufferüberläufe]] oder [[Wettlaufsituation]]en prüfen, wie beispielsweise [[Rough Auditing Tool for Security]] (RATS).<br />
<br />
Weiters gibt es noch Werkzeuge, die auch [[Architekturmetrik]]en und die Konformität des Codes mit der Architekturspezifikation prüfen. Dazu gehören beispielsweise die Axivion Bauhaus Suite, [[ConQAT]] und Teamscale sowie Sonargraph und Sotograph.<br />
<br />
== Literatur ==<br />
* Christoph Bommer, Markus Spindler, Volkert Barr: ''Softwarewartung. Grundlagen, Management und Wartungstechniken.'' dpunkt-Verlag, Heidelberg 2008, ISBN 978-3-89864-482-2.<br />
* [[Peter Liggesmeyer]]: ''Software-Qualität. Testen, Analysieren und Verifizieren von Software.'' 2. Auflage. Spektrum Akademischer Verlag, Heidelberg 2009, ISBN 978-3-8274-2056-5.<br />
* [[Harry M. Sneed]], [[Richard Seidl]], Manfred Baumgartner: ''Software in Zahlen. Die Vermessung von Applikationen.'' Hanser, München 2010, ISBN 978-3-446-42175-2.<br />
* Andreas Spillner, Tilo Linz: ''Basiswissen Softwaretest. Aus- und Weiterbildung zum Certified Tester. Foundation level nach ISTQB-Standard.'' 4., überarbeitete und aktualisierte Auflage. dpunkt-Verlag, Heidelberg 2010, ISBN 978-3-89864-642-0.<br />
<br />
== Weblinks ==<br />
* {{Internetquelle|url=https://se-radio.net/2007/06/episode-59-static-code-analysis/|titel=Episode 59: Static Code Analysis|zugriff=2012-09-23|kommentar=Interview als [[Podcast]]-Beitrag auf [[Software Engineering Radio]]}}<br />
<br />
{{Gesprochene Version<br />
|datei=De-Statische_Code-Analyse-article.ogg<br />
|länge=04:19 min<br />
|größe=2,57&nbsp;MB<br />
|version=31669124<br />
|exzellent=nein<br />
}}<br />
<br />
[[Kategorie:Testen (Software)]]<br />
[[Kategorie:Qualitätsmanagement (Softwaretechnik)]]</div>imported>Aka