Techopedia Explique L’analyse du Code source
L’analyse du code source est essentiellement un débogage de code automatisé. Le but est de trouver des bugs et des défauts qui peuvent ne pas être évidents pour un programmeur. Il est destiné à trouver des défauts tels que d’éventuels débordements de tampon ou une utilisation désordonnée de pointeurs et une mauvaise utilisation des fonctions de collecte des ordures, qui peuvent toutes être exploitables par un pirate informatique.
Les analyseurs de code fonctionnent en utilisant des règles qui lui indiquent ce qu’il faut rechercher. Avec trop peu de précision, un analyseur peut cracher trop de faux positifs et inonder l’utilisateur d’avertissements inutiles, tandis que trop de précision peut prendre trop de temps à terminer; par conséquent, doit être un équilibre.
Il existe deux types d’analyseurs:
- Interprocédural – Détecte les motifs d’une fonction à l’autre, et ces motifs sont corrélés afin que l’analyseur puisse créer un modèle et simuler des chemins d’exécution.
- Intraprocédural – Se concentre sur la correspondance de motifs et dépend des types de motifs que l’utilisateur recherche.
Les analyseurs interprocéduraux sont plus modernes et plus complexes. Coverity, Fortify et le préfixe d’outil centralisé de Microsoft en sont de bons exemples.