Facebook、静的コード解析ツール「Infer」を公開。Objective-C/Java/Cコードのバグを指摘してくれる
Facebook、静的コード解析ツール「Infer」を公開。Objective-C/Java/Cコードのバグを指摘してくれる Inferが対応するコードはAndroidのJavaとiOSのObjective-C、およびC。現時点ではAndroidとJavaではNullPointerExceptionおよびリソースのリーク。iOSとCコードではメモリーリークを発見してくれます。 実際にプログラムを実行することなくバグを発見しようとする静的コード解析は、コードをビルドしてテストプログラムなどを実行するよりも迅速にバグを発見できる方法として期待されています。 Inferも、Facebookがより早く高い品質のソフトウェアをデリバリする目的で開発されたものです。下記はInferを発表したブログ「Open-sourcing Facebook Infer: Identify bugs before y
最近プロジェクト内でJenkinsをどう運用しているのか聞かれることがあったので書いておくことにします。 ビルドだけではもったいないので色々なことをやらせているのですが、とりあえず今回は静的コード解析について。 コード解析の設定は最初は少しだけ面倒かもしれませんが、出力されるレポートはプロジェクトの大事なインプットとなってくれます。 出力されたレポート、グラフを見て自分達の日々開発しているものをチェックしてチーム内の朝会やふりかえりでアレコレ語るのがいいんじゃないかと思います。 まずは必要なプラグインのインストール 静的コード解析 FindBugs Plugin - コンパイル後のバイトコードを解析してバグや不具合が発生しそうなコードをチェックしてくれる https://wiki.jenkins-ci.org/display/JENKINS/FindBugs+Plugin Checksty
高速なPythonの静的コード解析ツールを作った話
TL;DR pylyzerというPython向けの静的コード解析ツールを開発した。 pylyzerは既存の静的解析ツール(e.g. pytype, pyright)よりも細かいコードの欠陥を指摘でき、エラー表示が丁寧であり、更に高速である。コードによっては100倍以上速く検査できた。 pylyzerはcargo(Rustのパッケージマネージャ)がインストールされている場合は以下のコマンドでインストール出来る。
福田(@JunyaFff)です。今月の「Python Monthly Topics」は、最近私が個人的に気になっている静的コード解析ツールRuffについて紹介します。 どんなプログラミング言語でも、静的コード解析ツール(リンター)やフォーマッターは非常に便利です。Pythonでコードを書く場合、皆さんはどんなツールを使っているでしょうか?Flake8やBlack、isortなどが人気で、世界中で多くのPythonエンジニアに利用されています。 Ruffは2022年8月にリリースされた比較的新しい、Pythonのリンター兼フォーマッターです。Ruffはリリースからまだ半年足らずしか経っておりませんが、多くの著名なライブラリで採用[1]され、毎日のようにアップデートされています。2023年3月時点でのRuffの使い方、そしてこれからの発展について、本記事で紹介します。 Ruffとは? ここでは
コードレビューしてもらう前に、静的コード解析をして事前に問題点の修正を行いたいと思ったので使ってみました。 PHPMDとは Hudson+phpmdでPHPコードの問題を自動検出する方法 | Ryuzee.comに記載されているのは以下のような内容です。 phpmdはPHP Mess Ditectorの略で、PHPコードの潜在的なバグになりそうな箇所や実装上の問題を検出してくれるツールである。例えば未使用の変数の指摘、多数のpublicメソッドのある巨大クラスの検出、一文字変数等もこのツールで検出可能だ。
rubocopはRubyの静的コード解析ツールです。このコード解析を通すことによって、一定のRubyの書き方に統一することができます。また、不要な変数やメソッド名が長すぎるなど、一般的にRubyとして読みやすいコードにするための警告もされます。 こういった警告はRuby coding style and best practicesとしてRuby coding style guideにまとめられおり、Rubyを書くのであれば基本的にはRuby coding style guideを一読しておくことをおすすめします。英語が苦手であれば、翻訳された日本語版も存在します。 なぜ静的コード解析をするのか?静的コード解析し一定の読みやすいコードに統一することによって、人間が誤読する確率を下げることにより、バグなどの混入させる確率を下げる効果があります。また昨今ではGitHubでコードレビューをするよ
静的コード解析 - Wikipedia
静的コード解析 (せいてきコードかいせき、static code analysis) または静的プログラム解析 (static program analysis) とは、コンピュータのソフトウェアの解析手法の一種であり、実行ファイルを実行することなく解析を行うこと。逆にソフトウェアを実行して行う解析を動的プログラム解析と呼ぶ[1]。静的コード解析はソースコードに対して行われることが多いが、少数ながらオブジェクトコードに対して行う場合もある。また、この用語は以下に列挙するツールを使用した解析を意味することが多い。人間が行う作業はインスペクション、コードレビューなどと呼ぶ。日本語では静的コード分析とも訳される[2]。 概要[編集] ツールが行う静的コード解析の洗練度は、個々の文や宣言だけを検証するものから、プログラム全体を解析するものまで様々である。解析結果の利用も様々で、Lintのように単に
SonarCloudと始める静的コード解析 〜ソフトウェア品質向上のための第一歩〜 - ZOZO TECH BLOG
はじめに こんにちは。FAANSバックエンドエンジニアの浜口(@xlgorbylx)です。普段はFAANSのバックエンドシステムの開発をしています。 FAANSとは、弊社が2022年8月に正式ローンチした、アパレル店舗のショップスタッフの販売サポートツールです。例えば、ZOZOTOWN上で実店舗の在庫取り置きができる機能や、コーディネート投稿の機能などを備えています。投稿されたコーディネートはZOZOTOWNやWEAR、Yahoo!ショッピング、ブランド様のECサイト等に連携が可能です。これによりお客様のコーディネート選びをサポートし、購買体験をより充実したものにします。機能の詳細に関しましては、下記プレスリリースをご覧ください。 corp.zozo.com 本稿では、Go言語で実装されたFAANSのバックエンドシステムについて、SonarSource社の提供するSaaSである「Sonar
Jenkinsで静的コード解析を常時自動化する手法が公開されていたのでメモ。 これは使い道があると思う。 【元ネタ】 Twitter / akipii: テスト自動化ができなくても静的コード解析を回帰テストのように使うのは効果的という指摘。ガラクタのレガシー資産プロジェクトで有効かもしれない。Jenkinsを使って継続的に静的コード解析をさせる - suzukijの日記 http://goo.gl/rpTq7 Jenkinsを使って継続的に静的コード解析をさせる - suzukijの日記 Twitter / akipii: Antのbuild.xmlをSonarが読み込んでソースの各種メトリクスを出力し、更にJenkinsと連携してCronのように使う手法。SonarがMavenだけでなくAntも使えると便利。Ant,Jenkins,Sonarの導入手順 http://goo.gl/wXJ
MOONGIFTはオープンソース・ソフトウェアを紹介するブログです。2021年07月16日で更新停止しました いかなるソフトウェアであってもバグはつきものです。バグがなかったとしてもそれは単に見つからなかったり大きな問題につながらないだけで、いつかは露見することになります。 Facebookが作ったInferはそんなプログラミングコードを静的に解析するソフトウェアで、アプリのバグをいち早く発見するためのツールになります。 Inferの使い方 例えば以下のようなコードがあります。これはjavacでコンパイルできるコードです。 // Hello.java class Hello { int test() { String s = null; return s.length(); } } これをInferにかけるとエラーが表示されます。 $ infer -- javac Hello.java H
GitHubにコードをpushすると静的コード解析を走らせて、問題を指摘してくれるようなCI (GitHub Actionsのワークフロー)を作ります。 完成図 https://github.com/shimat/csharp_actions_test/pull/1/files#diff-8d95ab4216ead1b0e5e99cb5ef8dece89aea47bd71c14d15a1dfb0f92e0947a2 静的コード解析について 本記事ではMicrosoftが用意している解析機を使います。従来はFxCop analyzersと呼ばれていたもので、今は .NET analyzers というそうです。 https://docs.microsoft.com/en-us/visualstudio/code-quality/migrate-from-fxcop-analyzers-to-n
sonson@Picture&Software - [iPhone SDK] iPhone SDK向けのコードを静的コード解析する
相変わらずNDAは解除されない.NDAを続けるメリットがいまいちよくわからない.たとえば,今みたいにSDKに入っているコードから商品の開発計画とかがばれるからだろうか.うーむ. ※ここからはSDK一般のお話ですから.あしからず. Xcodeに付属のInstrumentsのleaks挙動が怪しい.リークを検出したり,しなかったりする. そこで,@takuma104にclangを勧められた. clangのMacOSX向けのツールはXcodeのプロジェクトのファイルを全部舐めて解析してくれるらしく,使いやすそうと考えたので,試してみたので報告する. ・本家サイト http://clang.llvm.org/index.html ・説明サイト http://kirika.la.coocan.jp/acts/cocoastudy/200807/clang-static-analyzer.ht
DevOpsと(セキュリティ系)静的コード解析 (+DAST)が相性が悪いのはなぜか - ぶるーたるごぶりん
※ 2020/5/22 一部加筆 SASTとIterativeな開発の相性の悪さ 若干煽り気味なタイトルですが、チーム内で話していてなぜセキュリティ静的コード解析(Static Application Security Testing: SAST)と言ったセキュリティアプローチがDevOpsで回りにくいのかが言語化できた。 そもそも静的コード解析というアプローチによるセキュリティ担保は基本的に「教科書的なウォーターフォール型」において有効で、 理由としては「人月・工数」のみで考えられた「誰でもその作業ができ、セキュリティの知識がなくても良い」みたいな作業者の能力を考慮しないアプローチが基本だからである。 そう言ったアプローチだと「SASTのアラート全部直してくれな!そしたらセキュアだから!」という形に落とし込むことにより、 問題をある程度封じ込めれると。 ただ、これをDevOps、というよ
FindBugs の不穏な話を聞いて、まだ余裕あるけれど他の方法があっても良いかなと考えていたところで、こんな記事を見た: FindBugsコミュニティにおける例の件の顛末、そしてSpotBugsとは何か - Kengo's blog 他にはIntelliJ IDEAも推奨されています。IDEAはIDEですが、バッチ(CI)に組み込んでXMLを出力させることも可能とのことです。 どうやら、IDEA でコードを書いている最中に表示される諸々の警告をヘッドレス環境でも取得できるらしい。 ところが該当リンクに飛んでみてもあまり詳しいことが書いてなかったので調べてみた。 まずはじめに ローカル環境でやるなら IntelliJ IDEA を終了させること。 すでに起動している IDEA インスタンスがあると、後述のコマンドは期待通りに動かない。 コマンドどこ Mac だと app の中にコマンドが入
本格派エンジニアの工具箱 第16回Javaソフトウェアのための静的コード解析ツールをセットにした「Software Quality Environment」 「Software Quality Environment」とは ソフトウェアの品質を確保するためには、単体テストをはじめとする動的テストと並んで、ソースコードの静的チェックが極めて重要となります。「Software Quality Environment」(以下、SQE)は、Javaアプリケーション開発向けに公開されている複数の静的コード解析ツールをセットにした、NetBeans用のプラグインです。現在、SQEには次に挙げる4つのツールが含まれています。 FindBugs PMD Checkstyle Dependency Finder これらのツールはそれぞれ単体で利用することもできますが、SQEのメリットは、手軽に複数の異な
The GNU Compiler Collection(GCC)開発チームは5月7日、最新のメジャーリリースとなる「GCC 10.1」公開を発表した。静的コード解析が実験的に導入され、C++20のサポートも強化した。 The GNU Compiler Collection(GCC)はGNUオペレーティングシステム向けのコンパイラとして開発がスタートしたプロジェクトで、 C/C++やObjective-C、Fortran、Ada、Go、Dなどさまざまな言語に対応するフロントエンドとライブラリを提供する。 GCC 10.1は、2019年5月に公開されたGCC 9.1に続くメジャーリリース。この間、プロジェクトはバージョン管理をSubversionからGitに変更している。 C++20のサポートが、コンパイラとlibstdc++ライブラリの両面で強化されている。constexpr関数における評価
splint という解析ツールがある MacOSX だとデフォルトでは入っていないようだけど、port install splint でインストールできる。 これを使う事でバグが混在しやすいコードや、未使用の変数等を解析して教えてくれる。 ためしに使ってみる。 以前書いた正規表現のソースをチェックしてみる。 ソースはこんな内容 1 /* $Id: regex.c 39 2008-05-19 16:25:42Z sugamasao $ */ 2 #include <stdio.h> 3 #include <stdlib.h> 4 #include <regex.h> 5 6 int main(void) { 7 char* str = "<p>hoge</p>"; 8 regex_t reg; 9 regmatch_t* pmatch; 10 size_t nmatch; 11 12 /*
Python のプロジェクトで静的コード解析,仮想環境上でのテストなど整備する - blog.sparsegraph.com
Saturday, April 6, 2013 Python のプロジェクトで静的コード解析,仮想環境上でのテストなど整備する Python のプロジェクトを整備する上で,最近やることにした項目などを走り書きメモ. こういった議論 or ノウハウがいっぱい欲しい.誰かお願いします. setuptools (setup.py) を使う場合 package_dir は src にする.でないと egg-info がプロジェクトのルートディレクトリに作成されて醜い バージョン情報はパッケージの __init__.py に書き setup.py から import して使う(差分に setup.py を入れたくない) shebang に python2 と書かない (python 3.x がデフォの Archlinux ユーザーには export PYTHON=/usr/bin/python2
DevOpsツールGitLabの最新版「GitLab 11.8」のリリースが発表されました。新機能としてNode.js/JavaScriptの静的コード解析などが追加されています。 GitLabは以前から静的コード解析機能「SAST」(Static Application Security Testing)を備えており、ビルドパイプラインなどの途中で自動的に脆弱性を検出することができるようになっていました。 これまでSASTにはC/C++、Python、Ruby on Rails、Java、Scala、Go、PHP、.NETなどが対応していましたが、今回のバージョンでJavaScriptもSASTの対象となり、脆弱性の検出などが行われるようになりました。 そのほか、サブグループ用のWebサイトが作れる「Pages support for subgroups」、コードレビューを承認する人など
Railsの開発効率を上げる - guard-rubocopを使ってRailsで自動で静的コード解析ツール(RuboCop)を実行させる - Rails Webook
Guardとは Guardとはファイルの変更を検知して、自動的にさまざまな処理を実行してくれるRubyのGemです。 これ単体で使うよりも、他のツールと連携し、自動的に処理を行い開発効率を上げるために使います。 メジャーどころとしては、次の3つだと思います。 guard-livereload - Viewファイルの変更したときに自動的にブラウザをリロードする guard-rspec - specファイルを変更したときに自動的にRSpecを実行する guard-rubocop - ファイルを修正したときにRuboCopを実行する 本記事では、Railsへguard-rubocopの導入方法を記載します。 また、rubocopは自動で動くので、失敗したときに、Mac OS X の通知センターの機能を使って通知するようにします。 対象読者 Railsの開発効率を上げたい方 確認バージョン Mac
ちなみに、タイトルは半分釣りというか、個人に依存したオカルトから、誰がやっても同じになる科学的な方法論をもっと入れてこう、って意図です。 もちろん、そういった部分を全部なくすのでは無くうまく組み合わせるのが大事。魔術と科学が交わるときには何かが起こるのです!(これが言いたかっただけ) なんで静的コード解析? チームやプロジェクトでコードレビューをしていますか? 多くの開発プロセスではコードレビューまたはペアプロが実施されていると思います。しかし、人の目で見てるだけでは不十分であり非効率です。 人間によるレビューは経験や勘、あるいはレビューアの好みに依存してしまう部分があります。 そのため、違う人がやれば違う結果になることはしばしば有ります。 また、そういった自体を防ぐためにレビューチェックシートを使う場合もあるでしょう。その場合の多くは退屈な作業を人がやることになります。 数が増えれば増え
コードレビューはしたことがあるでしょうか。 変なコードを書いていないかを確認するためにだれかにコードを確認してもらうという事はよくやります。 誰かにコードを見てもらえるのが一番良いのですが、その誰かがいない場合、機械的にコードを解析して変なところがないかを確認してもらうことが出来ます。 それが静的コード解析です。 Javaでは多くの静的コード解析ツールがあり、多くは無償で利用することが出来ます。 今回はそのうちのFindBugsとPMDを利用して静的コード解析をしてみたいと思います。 FindBugs FindBugsはコンパイルされたバイナリを解析し、不具合を検出してくれます。 例えば、 if("str" == "str")〜〜 という書き方は良くなく、Javaでは以下のように記載する必要があります。 f("str".equals("str"))〜〜 こういった問題点を検出してくれます。
前回、Java SE 8で導入した型アノテーションについて紹介しました。型アノテーションは型の使用に対して修飾できるアノテーションです。しかし、Java SE 8では型アノテーションが使えるようになっただけで、標準ライブラリーだけでは型アノテーションを活用することはできません。 そこで、今回は型アノテーションの活用例としてChecker Frameworkを紹介します。 Chekcer Framework Checker Frameworkは型アノテーションを利用して、静的コード解析を行うオープンソースのツールです。 ワシントン大学のMichael Ernst氏(写真1)を中心に作成されています。ソースコードはGitHubで公開されており、現在も活発に開発が行われています。 原稿執筆時点での最新バージョンは、2016年7月に公開された2.1.0です。本記事でもChecker Framewo
2008年12月04日 静的コード解析をしてメモリリーク等を教えてくれるclang clangというのが便利でした。Xcodeのプロジェクトを解析して、メモリリーク等のバグをHTML形式で吐いてくれるツールです。 iPhone SDK向けのコードを静的コード解析する Macユーザーは使い方分かると思います。以下、僕みたいにWinを使ってたけどiPhone開発のために初めてMacを触った人向け。 root権限がない ここからビルドされたパッケージをダウンロード.ダウンロードしたファイルを解凍し,中のフォルダとファイルをすべて/usr/local/binにコピーする.(/usr/loca/bin/にパスが通っていることを前提) Finderで普通に見ると/usrがない。困った。ターミナルから覗くとどうやらあるっぽい。cpしようとすると、root権限が必要って怒られた(´・ω・`) アプリケーシ
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
3つの静的解析ツールのご紹介スライドです。序盤ではHoundCIとSideCIを軽く紹介しています。 Brakeman: セキュリティのアップデート情報と初歩的ミスに役立つ Reek: コードの悪い傾向を検知、予防できる RailsBestPractices: Rails特有のbetterな方法についてチェックできる
エラーリストが静的コード解析の必要性を裏付け
Rustが再評価される:エコシステムの現状と落とし穴 In this article, we share findings and insights about the Rust community and ecosystem and elaborate on the peculiarities and pitfalls of starting new projects with Rust or migrating to Rust from othe...
はじめに C/C++の静的コード解析ツールの1つにCppCheckがあります。この記事では、CppCheckのインストールからコード解析までの手順について書いています。 ソフトウェアのバージョン 今回は以下の環境で動作させてみました。 Windows 7 Pro Cppcheck 1.5.3 Cppcheckの入手とインストール Cppcheckの入手とインストールは、以下のサイトを参照してください。 Windows7にC/C++向け静的コード解析ツールCppcheckをインストールする - 大人になったら肺呼吸 ファイル単位でチェックする はじめに、コマンドプロンプトを起動します。 cppcheckでコード解析を行うには、以下のコマンドを実行します。 cppcheck --enable=all Sample01.cpp >Checking Sample01.cpp... >Checkin
概要 AtomにはLinterとatom-lintの2つの静的コード解析用パッケージがある。 導入自体はatom-lintの方が簡単だが、個人的にLinterの方が動作が望ましかったので、ここではLinterを導入する手順についてまとめる。 (コミュニティ自体はどちらも活発だと思うので、好きな方を導入すればよい) ここでは、例としてRuby/SCSS/CoffeeScriptのLinterを導入する。 他言語についても手順は同様。 Linterのインストール 各言語用のLinter用プラグインのインストール 各言語用の静的コード解析ライブラリのインストール 静的コード解析ライブラリのパスの設定 1. Linterのインストール AtomのSettingsから「linter」と検索すれば簡単にインストールできる。 https://atom.io/packages/linter 2. Lint
静的コード解析(スタイルチェック…特にバグの警告)について有効に使うためのプラクティスであまり語られていないところをまとめました。 #Static Code Analysis, Style Checker, 静的解析
[実験] 静的コード解析ツールはどの程度バグや脆弱性を検出できるのか? ~ SonarQube編 - Qiita
静的コード解析ツールはバグや脆弱性をどの程度検出できるのでしょうか? 前回、FindBugsでバグだらけのWebアプリケーションを解析してみましたが、今回はSonarQubeで解析してみました。 検証内容 バグだらけのWebアプリケーション(EasyBuggy 1.3.3)が、現在実装済みのバグや脆弱性は以下の80種類です。 障害 デッドロック (Java) デッドロック (SQL) 完了しないプロセスの待機 無限ループ メモリリーク (Javaヒープ領域) メモリリーク (Permanent領域) メモリリーク (Cヒープ領域) ネットワークソケットリーク データベースコネクションリーク ファイルディスクリプタリーク スレッドリーク 文字化け 整数オーバーフロー 丸め誤差 打ち切り誤差 情報落ち 脆弱性 XSS (クロスサイトスクリプティング) SQLインジェクション LDAPインジェク
![[実験] 静的コード解析ツールはどの程度バグや脆弱性を検出できるのか? ~ SonarQube編 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/469eaa505c249c496c8ce0b3ea0ffcc62dbbee21/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwdGFtdXJhX18yNDYmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTRlNDMyMzU4N2Y4ZDY2MGNjODcyZjBmN2IxOTk3ZDVj%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Dceef1f00d873272c8507283eaa58a856)
無料のVisual Studio 2012 ExpressでC++の静的コード解析ができるよ。 - 小さい頃はエラ呼吸
はじめに マイクロソフトが検証用に無償で公開しているVisual Studio 2012 Express(Visual Studio 2012 Express for Windows Desktop)では、静的コード解析ができます。 この記事では、Visual Studio 2012 ExpressでC++コードのコード解析を行ってみます。 VC2012 Expressで静的コード分析 - Dive to the Software リーダブルコード ―より良いコードを書くためのシンプルで実践的なテクニック (Theory in practice)posted with amazlet at 13.05.15Dustin Boswell Trevor Foucher オライリージャパン 売り上げランキング: 1,692 Amazon.co.jpで詳細を見る ケース1 初期化漏れ 以下のコード
公開日 2019.8.8カテゴリ:Laravelタグ:PHP,Laravel,PHPStan,Parsing,Larastan
github.com RuboCopというgemを使用すると静的コード解析が行えるようになる(READMEの冒頭にロボコップのセリフが書いてあるようにRoboCopとRubyをかけているのね)。 ベースになっているスタイルガイドは下記ページ(日本語訳)から確認できる。 github.com RuboCopのインストール Gemfileに下記行を追加してbundle installする。 これでrubocopコマンドが使えるようになりインストールは完了。 group :development do gem 'rubocop', require: false end RuboCopの使い方 とりあえずアプリのディレクトリに移動して何も考えずにrubocopコマンドを実行してみると、カレントディレクトリ以下のファイルに対する静的コード解析の結果が出力される。 結果によると45ファイルをチェックし
こんにちは、Webエンジニアの鈴木です。 最近NBAプレイオフに触発されて3年ぶりにバッシュを新調しましたがまだ一度も履けていません。 エンジニア未経験からスペースマーケットに入社してあっという間に半年が経過しようとしています 日々の実装に追われて基礎知識がおろそかになっているのを痛感しているので、先輩エンジニアの山本さんが前回紹介していた書籍などで基礎固めの日々です。 基礎といえば、コーディングにおいても「最低限これだけは守ってもらいたい基本ルール」をもとにコードを書く方が良いとされています。 特にチーム開発の場合、エンジニアごとにコーディングのスタイルが全く異なってしまうと以下のようなデメリットがあると思います。 コードリーディングしにくく、実装の理解に時間がかかる コードレビューの際に共通認識がないため、指摘事項の線引きがあいまいになる そこでスペースマーケットでは、RuboCopと
HomePHPLaravelLaravel&CircleCIで継続的インテグレーション。ユニットテスト、静的コード解析、E2Eテストなど。
型アノテーションの活用例として、前回Checker Frameworkを紹介しました。今回は、Checker Frameworkを使用して、実際にコード解析をしてみましょう。 はじめに紹介するのがnullに対するチェックを行う、Nullness Checkerです。 Nullness Checker プログラムの障害には様々な種類がありますが、その中でもNullPointerException例外はよく遭遇する障害ではないでしょうか。 NullPointerException例外を防ぐには、nullでないかどうかをこまめにチェックすることや、Optionalクラスを使うようにするなどの対処法があります。Optionalクラスについては、本連載のnullチェックの煩雑さを解決、Java SE 8で導入されたjava.util.Optionalクラスをご参照ください。 とはいうものの、頻繁にn
概要 AtomにはLinterとatom-lintの2つの静的コード解析用パッケージがある。 導入自体はatom-lintの方が簡単だが、個人的にLinterの方が動作が望ましかったので、ここではLinterを導入する手順についてまとめる。 (コミュニティ自体はどちらも活発だと思うので、好きな方を導入すればよい) ここでは、例としてRuby/SCSS/CoffeeScriptのLinterを導入する。 他言語についても手順は同様。 Linterのインストール 各言語用のLinter用プラグインのインストール 各言語用の静的コード解析ライブラリのインストール 静的コード解析ライブラリのパスの設定 1. Linterのインストール AtomのSettingsから「linter」と検索すれば簡単にインストールできる。 https://atom.io/packages/linter 2. Lint
静的コード解析の会#6で発表してきた - ::Eldesh a b = LEFT a | RIGHT b
静的コード解析の会#6でVeriFastによる停止性検査について発表してきました。(資料作って徹夜してしまった…) 前回も同じテーマでしたが私の理解も資料も十分でなかったため(α)としてました。 が、今回の発表では多重集合、整礎関係、実際の処理系で検査できるコードについての説明まで入れることが出来たので、これで一通りの内容を盛り込めたと思います(ただしシーケンシャルなプログラムに限る…)。 参照している論文はModular termination verificationです。 (多分)怪しげな記述や展開のよく分からないページがありますが、がんばって作ったので興味がある人は是非眺めてみて下さい。 個人的なおすすめはStatic Recursionパターンの検証方法のあたり(資料の末尾の方)です。 会場からは、 処理系が(もっと)がんばれ 発表の構成が悪い(直接そうは言われてないけど) とい
Qodana は JetBrains IDE のインスペクションを CI パイプラインに導入してコード品質の改善を支援する静的コード解析エンジンです。 今すぐ無料でお試しください!
日本シノプシスが静的コード解析ツール「Coverity」の最新バージョン「Coverity 8.5」を発表した。「MISRA C 2012」を完全サポート、セキュリティ解析機能も強化した。 日本シノプシスは2016年7月12日、静的コード解析ツール「Coverity」の最新バージョン「Coverity 8.5」を発表した。 新バージョンではコーディングガイドライン「MISRA C 2012」を完全サポートしており、自動車や医療機器といったミッションクリティカルなソフトウェア開発支援機能を強化した。 言語対応としては新たにRubyとNode.jsの解析機能が搭載されており、セキュリティ面では既にサポート済みプログラミング言語のセキュリティ解析機能が強化され、加えてOWASP Top 10やCWE/SANS Top25などで指定されている脆弱性の検出が可能となっている。 IDE(統合開発環境)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Jenkinsを使って継続的に静的コード解析をさせる - suzukij's diary
新しい静的コード解析ツール「Ruff」をご紹介 | gihyo.jp
PHPの静的コード解析ツール『PHPMD』を使ってみた。 - Qiita
rubocopによる静的コード解析でRubyのコード品質を保つ | Act as Professional
Jenkinsで静的コード解析を常時自動化する - プログラマの思索
Infer - Facebook製の静的コード解析ツール
GitHub Actions で .NETプロジェクトの静的コード解析を行う
コマンドラインでヘッドレス IntelliJ IDEA を使って静的コード解析 - Qiita
第16回 Javaソフトウェアのための静的コード解析ツールをセットにした「Software Quality Environment」 | gihyo.jp
「GCC 10.1」リリース、静的コード解析機能が実験的に導入される | OSDN Magazine
静的コード解析ツール splint - すがブロ
GitLab 11.8がリリース。静的コード解析にJavaScriptを追加、脆弱性などを自動検出
オカルトから科学へ - SonarQubeで静的コード解析を始めよう - ブログなんだよもん
静的コード解析でコードの改善を行う - 水まんじゅう2
Java SE 8の型アノテーションを活用した静的コード解析、Checker Framework
iPhone向けサイトを考える:静的コード解析をしてメモリリーク等を教えてくれるclang
フリーのC/C++向け静的コード解析ツールCppCheckの使い方 - 小さい頃はエラ呼吸
Atomに静的コード解析を導入する手順 - Qiita
それなりの規模のソフト開発における静的コード解析活用プラクティス
Laravel & PHPStan(Larastan)で静的コード解析を行う
Railsメモ(22) : RuboCopで静的コード解析を行う - もた日記
ハッピーなチーム開発を実現するためにRubyの静的コード解析を自動化した話 | スペースマーケットブログ
Laravel&CircleCIで継続的インテグレーション。ユニットテスト、静的コード解析、E2Eテストなど。
静的コード解析Checker Frameworkで、Javaでのnullをチェックする
Atomに静的コード解析を導入する手順 - Qiita
Qodana: JetBrains の静的コード解析ツール
MISRA C 2012サポートなど、静的コード解析ツール「Coverity」に新バージョン