代码静态分析解决方案

1.   概述

      为了详细说明珠海南方软件产品检测中心（以下简称检测中心）针对开发过程提供的测试服务业务，以及合理利用检测中心的测试资源对企业送检的C、C++代码及软件文档开展行之有效的测试和测试项目的收费情况，特编写本方案予以详细说明。

2.   开发过程测试服务

      检测中心针对开发过程的不同阶段，提供静态测试和动态测试两大类测试业务，涵盖了文档、代码等软件产品的测试。静态测试分为软件文档评审、代码静态质量分析、编码规范检查和代码缺陷与安全漏洞分析；动态测试分动态黑盒、白盒测试等。每项测试业务解决不同类型的问题，按照先文档后代码、先静态后动态先后顺序执行。

    . 软件文档评审适用于软件需求与设计阶段，软件文档是软件开发的基础，是软件的基础性资料，也是提炼测试需求的必要资料，软件文档评审主要测试文档符合相关标准的情况；

    . 代码静态分析适用于编码阶段，及时控制质量隐患，主要从控制流、数据流、接口、表达式等四个方面进行测试，查找代码错误，并对代码进行MaCabe、Halstead等相关度量，并对代码的可维护性、清晰度、可测性进行评估，可以了解代码质量；

    . 编码规范检查适用于编码阶段，可规范代码的书写格式，查找违反规则的编码，排除代码隐患和提高代码质量；

    . 代码缺陷与安全漏洞的分析使用于编码阶段，排查空指针引用、缓冲区溢出、内存泄漏等严重问题；

    . 在单元测试和集成测试阶段，对于重要的程序模块，如果需要测试其可靠性及其内部结构的正确性，可进行动态测试。包括动态黑盒单元测试、动态黑盒集成测试、动态白盒单元测试和动态集成白盒测试，目前所有动态测试均在主机平台下进行。

    以上测试项目，委托方可要求进行全部测试项目，也可进行部分测试项目。

来源：珠海南方软件产品检测中心 赵向锋