Online-Seminar | Wie du mir, so ich dir: Wie man ein statisches Analysewerkzeug (nicht) ärgert

Moderne statische Analysewerkzeuge sind in der Lage, eine große Anzahl kritischer Laufzeitfehler wie Nullzeiger-Dereferenzen, Überläufe, die Verwendung von nicht initialisiertem Speicher und Divisionen durch Null zu erkennen, indem sie fortgeschrittene Techniken wie abstrakte Interpretation verwenden.

Da die angewandten Analysen das Verhalten eines Programms nicht exakt nachstellen, sondern nur annähern können, können sie auch False Positives melden, d.h. Programmstellen, an denen ein gemeldeter Fehler zur Laufzeit des Programms nie auftritt, die Analyse aber einen Fehler an dieser Stelle nicht mit Sicherheit ausschließen kann. Da Fehlermeldungen in der Regel eine manuelle Überprüfung oder Überarbeitung des Codes nach sich ziehen, ist es sehr wünschenswert, die Anzahl der False Positives gering zu halten.

In diesem Online-Seminar zeigen wir Beispiele von Coding-Patterns, die das Leben eines statischen Analysewerkzeugs schwer machen und zu einem Anstieg von False Positives führen können. Wir untersuchen Beispiele für numerische Berechnungen und die Verwendung von Speicherzugriffen, die schwierig zu analysieren sind, und untersuchen komplexe Kontrollflusskonstrukte. Als Beispiel aus der Praxis betrachten wir die Implementierung eines Message-Passing-Mechanismus und prüfen, wie gut es analysiert werden kann. Umgekehrt zeigen wir auch Wege auf, um die schmerzhaften Muster zu vermeiden und dem Analysewerkzeug (und damit seinen Entwicklern) das Leben leichter zu machen.

Haben Sie unser Live-Seminar verpasst? Keine Sorge… Sie können das Video herunterladen und es on demand ansehen: Sehen Sie sich unsere Download-Optionen an