Techopedia forklarer kildekode analyse

kildekode analyse er dybest set automatiseret kode debugging. Målet er at finde fejl og fejl, der måske ikke er indlysende for en programmør. Det er meningen at finde fejl som mulige bufferoverløb eller sjusket brug af pegepinde og misbrug af affaldsindsamlingsfunktioner, som alle kan udnyttes af en hacker.

Kodeanalysatorer arbejder ved hjælp af regler, der fortæller det, hvad man skal kigge efter. Med for lidt præcision kan en analysator udspy for mange falske positive og oversvømme brugeren med ubrugelige advarsler, mens for meget præcision kan tage for lang tid at afslutte; derfor skal være en balance.

der er to slags analysatorer:

• Interprocedural-registrerer mønstre fra en funktion til den næste, og disse mønstre er korreleret, så analysatoren kan oprette en model og simulere udførelsesstier.
• Intraprocedural – fokuserer på mønstertilpasning og afhænger af, hvilke typer mønstre brugeren leder efter.

Interprocedurale analysatorer er mere moderne og mere komplekse. Gode eksempler på dette er Coverity, Fortify og Microsofts eget centraliserede Værktøjspræfiks.