靜態(tài)代碼檢查的案例
Axivion Suite:靜態(tài)代碼分析與架構(gòu)驗(yàn)證工具
Qt Group的Axivion Suite是業(yè)界領(lǐng)先的靜態(tài)代碼分析工具,包含 Axivion Static Code Analysis 和 Axivion Architecture Verification,為您提供業(yè)界領(lǐng)先的代碼深入分析服務(wù)。
靜態(tài)代碼分析從項(xiàng)目之初開始保證質(zhì)量
Axivion Static Code Analysis
靜態(tài)代碼分析可檢查軟件項(xiàng)目的風(fēng)格和編碼違規(guī)。在項(xiàng)目早期階段檢測克--隆代碼、死代碼、被零除及其他代碼缺陷,可減少后期修復(fù)所需的時(shí)間和成本。該工具支持眾多指標(biāo)和編碼規(guī)則。尤其是與安全與保障相關(guān)的方面,因此可以輕松監(jiān)控。此外,還可添加獨(dú)立編碼規(guī)則以及配置選項(xiàng),確保從項(xiàng)目之初就保持高質(zhì)量標(biāo)準(zhǔn)。
Axivion Architecture Verification
實(shí)現(xiàn)架構(gòu)驗(yàn)證可確保系統(tǒng)結(jié)構(gòu)保持清晰明了。為創(chuàng)建軟件架構(gòu)的結(jié)構(gòu)模型,您可以手動(dòng)設(shè)置,也可以從UML模型或其他形式的圖形結(jié)構(gòu)中導(dǎo)入。軟件架構(gòu)侵蝕和架構(gòu)債務(wù)變得透明,因此可以有效地應(yīng)對。為了檢查代碼是否符合架構(gòu),需標(biāo)記偏差、阻止進(jìn)一步的架構(gòu)侵蝕。已存在的架構(gòu)設(shè)計(jì)債務(wù)可以通過有針對性的重構(gòu)措施加以糾正,您可以在架構(gòu)驗(yàn)證的結(jié)果報(bào)告中直接監(jiān)控這些措施。
可根據(jù)您的開發(fā)環(huán)境進(jìn)行定制
Axivion Static Code Analysis與Axivion Architecture Verification無縫集成到您現(xiàn)有的開發(fā)環(huán)境中。這些工具可高度定制以滿足您的個(gè)性化需求。我們的專家將支持整個(gè)執(zhí)行過程,確保您從項(xiàng)目之初就能從中獲益。
展開 敏捷實(shí)踐經(jīng)驗(yàn)分享,企業(yè)如何在敏捷開發(fā)中實(shí)施DoD
首先要知道,所有的DoD都不是一成不變的,在隨著時(shí)間的推移、經(jīng)驗(yàn)的積累、成員的變更、項(xiàng)目的變更,我們的DoD也會有很大的不同,所以,我們也需要定期地檢查和改進(jìn)。
二、 DoD的分類
有了上面的思想準(zhǔn)備,我們再來看下面的DoD定義,就會覺得并沒有那么難了。
一、迭代DoD
最典型的是迭代DoD,這也是最初DoD應(yīng)用的地方。常見的一些規(guī)則有:
1. 所有代碼通過靜態(tài)檢測,嚴(yán)重問題都已修改,靜態(tài)分析的規(guī)則參見...
2. 所有新增代碼得到人工評審
3. 所有完成的用戶故事都有對應(yīng)的測試用例
4. 測試用例都已執(zhí)行
5. 所有完成的用戶故事得到Product Owner的驗(yàn)證
二、發(fā)布DoD
對于發(fā)布,一般就有更加嚴(yán)格的要求,發(fā)布DoD的典型條款有:
1. 完成發(fā)布規(guī)劃所要求的重點(diǎn)需求
2. 至少通過一次全量回歸測試
3. 修復(fù)所有等級為1、2的缺陷,3、4級缺陷不超過20個(gè)
三、版本DoD
版本DoD就是針對每個(gè)版本上線前后的一些規(guī)則,比如:
1. 產(chǎn)品文檔已全部更新
2. 代碼已部署到產(chǎn)品服務(wù)器上
3. 運(yùn)維在驗(yàn)收測試環(huán)境上冒煙通過
4. 原始需求提交人對功能已經(jīng)驗(yàn)收通過
5. 對運(yùn)維、市場、客服的新功能培訓(xùn)已完成
四、每日DoD
其他典型的DoD有每日DoD,典型條款有:搭建每日構(gòu)建環(huán)境,晚上自動(dòng)靜態(tài)代碼檢查、編譯、部署和測試,每日修復(fù)前一日構(gòu)建和測試發(fā)現(xiàn)的缺陷和問題。
1. 下班前必須檢入當(dāng)天編寫的代碼,check in的backlog要填寫清晰
2. 當(dāng)天的代碼必須在當(dāng)天或者第2天邀請同伴進(jìn)行代碼評審
3. 檢入的功能代碼必須要有對應(yīng)的單元測試(嚴(yán)格采用TDD)
4.
展開 Moldex3D模流分析之可制造性的靜態(tài)規(guī)范檢查
圖五 鏈接器案例及其剖面圖
圖六 CAE仿真結(jié)果,顯示兩側(cè)流動(dòng)不平衡
圖七 可能因流動(dòng)不平衡而造成的翹曲變形
圖八 對幾何參數(shù)設(shè)置變化范圍并一次產(chǎn)生所有分析組別
圖九 某一組分析結(jié)果,兩側(cè)波前幾乎在末端重合
從上述的例子可得知,可制造性(DFM)的靜態(tài)的規(guī)范檢查,無法百分之百反映動(dòng)態(tài)生產(chǎn)過程所造成的問題。CAE模流分析則可協(xié)助用戶彌補(bǔ)這一部分;而Moldex3D SYNC幾何優(yōu)化工具更可進(jìn)一步幫助使用者簡化分析所需的工作。若將模流分析提供的分析結(jié)果項(xiàng)目也視為產(chǎn)品可制造性的一環(huán),結(jié)合CAD與CAE的優(yōu)點(diǎn)與功能,即可有效提升產(chǎn)品設(shè)計(jì)效率,縮短產(chǎn)品上市時(shí)間。
AbsInt — 確保代碼安全的靜態(tài)性能分析工具
能夠?yàn)榭蛻籼峁┹^完整的確保代碼安全的性能分析工具套件以及軟件分析、驗(yàn)證、確認(rèn)和編譯器技術(shù)相關(guān)咨詢服務(wù)。AbsInt產(chǎn)品廣泛地應(yīng)用于工業(yè)、交通、汽車、通信和能源等行業(yè)的安全苛求軟件研發(fā)過程中。
產(chǎn)品介紹
AbsInt 代碼安全性能分析套件主要包括以下幾種產(chǎn)品:
aiT WCET Analyzer/ 最差情況執(zhí)行時(shí)間分析工具
StackAnalyzer / 最差情況堆棧使用量分析工具
TimingProfiler/ 代碼執(zhí)行時(shí)間分析工具
Astrée /C 代碼運(yùn)行時(shí)錯(cuò)誤和數(shù)據(jù)競爭檢查工具
RuleChecker/C 代碼規(guī)則檢查工具
CompCert/ 形式化方法驗(yàn)證的優(yōu)化 C 語言編譯器
- 二進(jìn)制代碼分析工具
aiT
針對特定的處理器和編譯器,能夠分析出較接近實(shí)際運(yùn)行情況的最差執(zhí)行時(shí)間,真實(shí)反映系統(tǒng)性能。在分析過程中充分考慮了高速緩存和流水線(pipeline)的影響,從而避免了過于保守的WCET值,亦避免了硬件資源的浪費(fèi)。
StackAnalyzer
針對特定的處理器族和編譯器,能夠自動(dòng)分析出任務(wù)的最差堆棧使用量,即避免了人為低估造成的堆棧溢出,又避免了人為高估而造成的資源浪費(fèi)。
TimingProfiler
針對特定的處理器族和編譯器,能夠從初期開始對代碼執(zhí)行時(shí)間進(jìn)行持續(xù)分析和評估。
展開 
Qt工具 | 靜態(tài)代碼/架構(gòu)分析工具Axivion介紹
什么是靜態(tài)測試?
靜態(tài)方法是指不運(yùn)行被測程序本身,僅通過分析或檢查源程序的語法、結(jié)構(gòu)、過程、接口等來檢查程序的正確性。對需求規(guī)格說明書、軟件設(shè)計(jì)說明書、源程序做結(jié)構(gòu)分析、流程圖分析、符號執(zhí)行來找錯(cuò)。
靜態(tài)方法通過程序靜態(tài)特性的分析,找出欠缺和可疑之處,例如不匹配的參數(shù)、不適當(dāng)?shù)难h(huán)嵌套和分支嵌套、不允許的遞歸、未使用過的變量、空指針的引用和可疑的計(jì)算等。靜態(tài)測試結(jié)果可用于進(jìn)一步的查錯(cuò),并為測試用例選取提供指導(dǎo)。
Axivion特性概覽
靜態(tài)代碼分析
-支持語言:C/C++,C#/.NET,Java和Ada83/Ada95
-編碼指南:涵蓋了MISRA C:2004、MISRA C:2012(包括MISRA C:2012修正1安全規(guī)則和MISRA C:2012修正2)和MISRA C++:2008的100%的自動(dòng)檢查規(guī)則,AUTOSAR C++14(17.03、17.10、18.03、18.10和19.03)以及安全標(biāo)準(zhǔn)CERT C和CERT C++、CWE和ISO/IEC TS 17961(C安全編碼標(biāo)準(zhǔn))等。您也可以使用Axivionsuite的規(guī)則編輯器設(shè)置和檢查自定義的規(guī)則。
-度量:包含許多常見軟件指標(biāo)的規(guī)則集。包含基于行、嵌套、循環(huán)復(fù)雜度、控制流等黃金老牌的指標(biāo)。同時(shí)也包括HIS(Metrics QAC warning discription)這樣的指標(biāo)集。
-缺陷分析:檢查源代碼中潛在的運(yùn)行時(shí)錯(cuò)誤。包括可擴(kuò)展的數(shù)據(jù)和控制流檢查,例如越界訪問或除以零等錯(cuò)誤可以提早發(fā)現(xiàn)。
展開 AbsInt—確保代碼安全的靜態(tài)性能分析工具
產(chǎn)品概述
德國AbsInt公司是專注于安全苛求軟件研發(fā)、確認(rèn)、驗(yàn)證和認(rèn)證的工具鏈供應(yīng)商,能夠?yàn)榭蛻籼峁┩暾拇_保代碼安全的性能分析工具套件以及軟件分析、驗(yàn)證、確認(rèn)和編譯器技術(shù)相關(guān)咨詢服務(wù)。AbsInt產(chǎn)品廣泛地應(yīng)用于工業(yè)、交通、汽車、通信和能源等行業(yè)的安全苛求軟件研發(fā)過程中。
產(chǎn)品介紹
AbsInt代碼安全性能分析套件主要包括以下幾種產(chǎn)品:
aiT WCET Analyzer/最差情況執(zhí)行時(shí)間分析工具
StackAnalyzer/最差情況堆棧使用量分析工具
TimingProfiler/代碼執(zhí)行時(shí)間分析工具
Astrée/C代碼運(yùn)行時(shí)錯(cuò)誤和數(shù)據(jù)競爭檢查工具
RuleChecker/C代碼規(guī)則檢查工具
CompCert/形式化方法驗(yàn)證的優(yōu)化C語言編譯器
二進(jìn)制代碼分析工具
aiT:針對特定的處理器和編譯器,能夠分析出較接近實(shí)際運(yùn)行情況的最差執(zhí)行時(shí)間,真實(shí)反映系統(tǒng)性能。
展開 Qt客戶案例:符合醫(yī)療軟件架構(gòu)要求的高標(biāo)準(zhǔn)源代碼檢查解決方案
關(guān)于Axivion
Axivion公司總部位于德國斯圖加特,是一家為靜態(tài)代碼分析和防止軟件腐化提供創(chuàng)新軟件解決方案的供應(yīng)商。Axivion的核心產(chǎn)品是Axivion Suite,這是一款用于提高用C、C++和C#編程語言實(shí)現(xiàn)的軟件系統(tǒng)的軟件質(zhì)量和可維護(hù)性的工具套件。除了靜態(tài)代碼分析之外,該工具套件還包括用于架構(gòu)驗(yàn)證和代碼克-隆管理的軟件工具。
Axivion的MISRA檢查器支持100%的所有可自動(dòng)測試的MISRA規(guī)則,此外,還支持AUTOSAR C++14風(fēng)格指南、CERT?編程規(guī)則(用于安全軟件開發(fā))、ISO/IEC TS 17961規(guī)則以及CWE規(guī)則。根據(jù)IEC 62304標(biāo)準(zhǔn),Axivion套件的靜態(tài)代碼分析功能已通過認(rèn)證,可用于安全等級高達(dá)C類的醫(yī)療系統(tǒng)。同時(shí),Axivion的專業(yè)服務(wù)團(tuán)隊(duì)致力于為客戶在工具配置和集成方面提供支持。
自2022年8月起,Axivion公司已加入Qt Group旗下。
深圳市優(yōu)飛迪科技有限公司成立于2010年,是一家專注于產(chǎn)品開發(fā)平臺解決方案與物聯(lián)網(wǎng)技術(shù)開發(fā)的國家級高新技術(shù)企業(yè)。
十多年來,優(yōu)飛迪科技在數(shù)字孿生、工業(yè)軟件尤其仿真技術(shù)、物聯(lián)網(wǎng)技術(shù)開發(fā)等領(lǐng)域積累了豐富的經(jīng)驗(yàn),并在這些領(lǐng)域擁有數(shù)十項(xiàng)獨(dú)立自主的知識產(chǎn)權(quán)。同時(shí),優(yōu)飛迪科技也與國際和國內(nèi)的主要頭部工業(yè)軟件廠商建立了戰(zhàn)略合作關(guān)系,能夠?yàn)榭蛻籼峁┩暾漠a(chǎn)品開發(fā)平臺解決方案。
優(yōu)飛迪科技技術(shù)團(tuán)隊(duì)實(shí)力雄厚,主要成員均來自于國內(nèi)外頂尖學(xué)府、并在相關(guān)領(lǐng)域有豐富的工作經(jīng)驗(yàn),能為客戶提供“全心U+端到端服務(wù)”。
展開 智能駕駛車輛功能安全測試解決方案
全面遵循 ISO 26262 / GBT 34590 的流程、方法和要求
多類型(供電、通訊、傳感器、邏輯等)故障注入,確保與開發(fā)對應(yīng)的各層級安全需求得到完整驗(yàn)證
提供完整的測試活動(dòng)及證據(jù),包含各階段完善的交付物,保障功能安全審核評估認(rèn)證
?? 軟件級功能安全測試
基于業(yè)界成熟軟件搭建適配的軟件單元/集成測試環(huán)境
綜合靜態(tài)代碼檢查與動(dòng)態(tài)測試,全面驗(yàn)證應(yīng)用層軟件的安全性設(shè)計(jì)
測試用例開發(fā)方法滿足功能安全測試方法與測試覆蓋率要求
軟件測試工具滿足 ISO26262 軟件置信度要求
?? 系統(tǒng)級功能安全測試
基于 HIL、臺架等多種測試環(huán)境開展測試
覆蓋高速、車輛側(cè)傾、緊急制動(dòng)等復(fù)雜工況
支持 E2E、通訊、電氣等多種故障注入測試
完整驗(yàn)證安全需求在系統(tǒng)級的表現(xiàn)
?? 整車級功能安全測試
可基于實(shí)車驗(yàn)證整車級安全功能實(shí)際響應(yīng)
實(shí)現(xiàn)實(shí)車故障注入與安全機(jī)制驗(yàn)證
定制與調(diào)試實(shí)車測試設(shè)備和方案
覆蓋 CAN/CANFD/Ethernet 協(xié)議的通訊故障注入
?? 整車安全測試業(yè)務(wù)特點(diǎn)
覆蓋測試規(guī)劃、環(huán)境和案例開發(fā)與實(shí)施的全流程測試業(yè)務(wù)鏈
擁有多家國內(nèi)知名整車廠和供應(yīng)商合作經(jīng)驗(yàn),深得客戶認(rèn)可
測試工作產(chǎn)品在項(xiàng)目中通過國際機(jī)構(gòu) ASIL C 產(chǎn)品認(rèn)證
輔助客戶建立自主的功能安全流程及測試能力
小結(jié)
經(jīng)緯恒潤能夠?yàn)榭蛻籼峁┫到y(tǒng)化的整車功能安全測試解決方案,涵蓋從軟件開發(fā)階段、系統(tǒng)開發(fā)階段到整車開發(fā)階段的多層級功能安全咨詢服務(wù)。
展開 Qt質(zhì)量管理工具簡介
Qt質(zhì)量管理工具:
您在軟件質(zhì)量管理中需要的一切
您可以利用Qt質(zhì)量保證工具執(zhí)行跨技術(shù)、跨設(shè)備的GUI測試,整個(gè)測試框架的代碼覆蓋率分析、靜態(tài)代碼分析,并檢查軟件架構(gòu)的合規(guī)性。您可單獨(dú)使用一種工具,或成對使用,或同時(shí)使用所有工具,以攔截軟件侵蝕。
質(zhì)量管理工具包的最新成員來自靜態(tài)代碼分析和軟件架構(gòu)驗(yàn)證方面的技術(shù)領(lǐng)導(dǎo)者。2022年8月,Qt官宣收購Axivion,為質(zhì)量保證系列增添新成員。Axivion自成立以來一直是軟件架構(gòu)和靜態(tài)代碼分析領(lǐng)域的新一代技術(shù)領(lǐng)導(dǎo)者。
Axivion除了經(jīng)典的靜態(tài)代碼分析(當(dāng)然通常被理解為一種檢測錯(cuò)誤的方法)之外,它還檢查各種標(biāo)準(zhǔn)編碼指南,例如 MISRA、AUTOSAR C++14 和傳統(tǒng)代碼指標(biāo)。此外,Axivion Suite 能幫助您檢查軟件架構(gòu)的合規(guī)性。
Qt質(zhì)量管理工具主要使用場景
GUI測試工具概述
*SQUISH: 來自FROGLOGIC收購
Squish GUI Tester是一款用于GUI功能自動(dòng)化測試的工具。在強(qiáng)大的Squish IDE中,用戶可通過錄制、編寫、調(diào)試、執(zhí)行腳本或使用行為驅(qū)動(dòng)開發(fā)的測試用例為他們的桌面、移動(dòng)、Web或嵌入式GUI和人機(jī)交互界面(HMI)設(shè)計(jì)自動(dòng)化方案。Squish可跨平臺、跨設(shè)備和跨技術(shù)工作,支持當(dāng)今市場上幾乎所有開發(fā)框架的自動(dòng)化,對Qt框架的支持更是無與倫比。
功能特點(diǎn)
強(qiáng)大靈活的UI控件識別
通過用戶友好、直觀且功能強(qiáng)大的Squish IDE記錄、重構(gòu)、調(diào)試、執(zhí)行和維護(hù)您的腳本。
直觀的集成開發(fā)環(huán)境
通過用戶友好、直觀且功能強(qiáng)大的Squish IDE記錄、重構(gòu)、調(diào)試、執(zhí)行和維護(hù)您的腳本。
易讀易用的腳本語言
自動(dòng)化GUI測試用例支持Python(2、3)、JavaScript、Perl、Ruby和Tcl五種腳本語言。
展開 沃爾沃:敏捷開發(fā)中滿足ISO26262的軟件安全分析
相反通過分析某些特性,如復(fù)雜性、代碼靜態(tài)檢查等,可以估計(jì)軟件中錯(cuò)誤數(shù)量的概率。然而,ISO 26262-6第7節(jié)也要求,對于某些類型的錯(cuò)誤,在架構(gòu)級(車輛功能)層面,應(yīng)該進(jìn)行全面的分析。以下就是基于此發(fā)展的一種方法。
軟件安全分析中的缺陷
進(jìn)行系統(tǒng)安全分析的方法包括以下內(nèi)容:
1、失效模式及影響分析FMEA;
2、故障樹分析;
3、事件樹分析;
4、危險(xiǎn)和可操作性分析。
使用這些方法進(jìn)行軟件安全分析的基本問題是,軟件作為一個(gè)系統(tǒng),其狀態(tài)比硬件多幾個(gè)數(shù)量級。實(shí)際上不可能對所有狀態(tài)進(jìn)行分析,并以合理的方式確定哪些狀態(tài)應(yīng)優(yōu)先考慮。也就是說,我們的研究中使用了一些系統(tǒng)安全分析方法的概念,如“指導(dǎo)詞”和“故障模式”,作為標(biāo)準(zhǔn)表示。
另外,也有人提出以軟件為重點(diǎn)的安全分析方法,如:
1、Petri網(wǎng)分析;
2、失效傳播轉(zhuǎn)化符號FPTN;
3、軟件關(guān)鍵性分析;
4、軟件FMEA
5、軟件故障模式、影響和關(guān)鍵性分析(SFMECA)。
FPTN更多的是一種標(biāo)記技術(shù),它不能進(jìn)行詳盡的分析。Petri網(wǎng)分析適用于基礎(chǔ)軟件。軟件FMEA和SFMECA是使用應(yīng)用層軟件的,但隨著軟件復(fù)雜性的增加,它們需要付出更多的努力。軟件臨界性分析和SHARD關(guān)注的是數(shù)據(jù)流。在SHARD中提出的數(shù)據(jù)流概念在我們的上下文中很有價(jià)值,它在以下的方法中有使用,但使用的順序和抽象層不同。這些方法從整個(gè)架構(gòu)層面開始分析,從上到下研究輸入輸出信號和相應(yīng)的故障模式。
展開 