Techopedia vysvětluje analýzu zdrojového kódu

analýza zdrojového kódu je v podstatě automatizované ladění kódu. Cílem je najít chyby a chyby, které nemusí být pro programátora zřejmé. Účelem je najít chyby, jako je možné přetečení vyrovnávací paměti nebo neuspořádané používání ukazatelů a zneužití funkcí sběru odpadků, všechny mohou být hackerem využitelné.

analyzátory kódu pracují pomocí pravidel, která mu říkají, co hledat. S příliš malou přesností, analyzátor by mohl chrlit příliš mnoho falešných pozitiv a zaplavit uživatele zbytečnými varováními, zatímco příliš mnoho přesnosti může trvat příliš dlouho, než skončí; proto, musí být rovnováha.

existují dva druhy analyzátorů:

• Interprocedural-detekuje vzory z jedné funkce na druhou a tyto vzory jsou korelovány, takže analyzátor může vytvořit model a simulovat cesty provádění.
• Intraprocedural-zaměřuje se na porovnávání vzorů a závisí na tom, jaké typy vzorů uživatel hledá.

Interprocedurální analyzátory jsou modernější a složitější. Dobrým příkladem jsou Coverity, Fortify a Microsoft vlastní centralizovaný nástroj PREfix.