静态分析和动态分析

最新推荐文章于 2023-07-19 09:00:00 发布
最新推荐文章于 2023-07-19 09:00:00 发布
阅读量3.2k 收藏 11
点赞数 1
文章标签: devops 单元测试 嵌入式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/parasoftchina/article/details/130401493
版权

在开发早期,发现并修复bug在许多方面都有好处。它可以减少开发时间,降低成本,并且防止数据泄露或其他安全漏洞。特别是对于DevOps,尽早持续地将测试纳入SDLC软件开发生命周期是非常有帮助的。

这就是动态和静态分析测试的用武之地。它们在SDLC中各自服务于不同的目的,同时也为任何开发团队提供独特且几乎即时的投资回报率。

静态与动态分析:了解两者的区别

静态代码分析是一个广义的术语,用于描述几种不同类型的分析。然而,所有这些分析都有一个共同的特征:它们不需要代码执行即可运行。

相比之下,动态分析需要代码执行。尽管还有其他区别,但这一特征是区分这两种测试方法的根本因素。

这也意味着每种方法在开发过程的不同阶段都提供了不同的好处。为了理解这些差异,我们可以回顾以下内容。

  • 每种策略需要什么。

  • 需要使用测试类型。

  • 协助该过程的工具。

什么是静态分析?

静态代码分析测试可以包括各种类型,其中两种主要的类型是基于模式的测试和基于流的测试。

基于模式的静态分析可以查找出违反定义编码规则的代码。除了确保代码满足合规性或内部计划的统一期望外,它还可以帮助团队预防缺陷,如资源泄漏、性能和安全问题、逻辑错误和API滥用等。

基于流的静态分析可以查找和分析代码的各种路径。这可以通过控制流(执行行(hang)的顺序)和数据流(变量或类似实体可以被创建、改变、使用和销毁的顺序)来实现。这些过程可以暴露出导致关键缺陷的问题,例如:

  • 内存损坏(缓冲区覆盖)

  • 内存访问违规

  • 空指针解引用

  • 竞态条件(Race conditions)

  • 死锁(Deadlocks)

它还可以通过绕过安全关键代码(如身份验证或加密代码)的路径来检测安全问题。

此外,度量分析包括对代码的各个方面进行衡量和可视化。它可以帮助检测现有的缺陷,但更常见的是,为后续代码维护时,提前消除可能带来未知缺陷的可能性。这是通过发现代码中的复杂性和冗长性来完成的,例如:

  • 过大的组件

  • 过多的循环嵌套

  • 一系列过于冗长的判定

  • 复杂的组件间依赖关系

什么是动态分析?

动态分析有时被称为运行时错误检测,动态分析是测试类型之间的区别开始变得模糊的地方。动态应用程序安全测试(DAST)是一种分析测试,目的是检查测试项目而不是执行它。这种白盒测试检查的是内部行为,并非外部行为。然而测试中的代码必须被执行。这是通过运行与动态测试相同的黑盒测试来完成的。

这意味着动态分析可以在内部故障发生的瞬间检测并报告这些故障。这使得测试人员更容易精确地将这些故障与测试行动关联起来,以便进行事故报告。类似于好的静态分析,DAST提供了完整的技术细节,使开发人员能够隔离和修复潜在的缺陷。

DAST还扩展了所有级别的测试能力,从单元测试到验收,使检测内部故障成为可能,这些故障指向在测试停止后发生或将要发生的无法观察到的外部故障。

静态分析的利弊

凡事皆有利弊,静态分析测试也有优点和缺点。

静态分析的利弊

优点:缺点
1. 在不执行源代码的情况下评估源代码;1. 可能返回误报和漏报,会分散开发人员的注意力;
2. 分析整个代码的漏洞和错误;2. 手动操作需要很长时间;
3. 遵循定制的、定义好的规则;3. 无法找到运行时环境中出现的错误或漏洞;
4. 增强开发人员的责任感;4. 决定应用哪些行业编码标准可能会令人困扰;
5. 具有自动化能力;5. 确定偏离违反规则是否合适,可能具有挑战性。
6. 尽早突出错误并减少修复漏洞所需的时间。

虽然这些缺点看起来令人生畏,但静态分析的缺点可以用两件事来补充:

  • 自动化静态分析

  • 使用动态分析技术

为什么静态代码分析如此有价值?

所有这些类型的静态分析都有一个共同点:它们会涉及扫描或检查程序源代码。

这是一种快速而简单的暴露关键缺陷的方法。他实现了100%的覆盖率和100%的客观结果。

不断地执行这样的静态代码分析是有意义的,因为它提供了这些可操作的结果,减少了成本和开发时间,增加了代码覆盖率,等等。

超越静态分析的范畴

静态扫描提供信息来帮助预测代码集成和执行时可能会发生的情况。它根据工具认为的缺陷标准来检测缺陷。通常也可以根据您的偏好和优先级进行定制。

但是,工具不能告诉您测试中或生产中的系统何时交付了意外的、不适当的或不准确的结果。

这里的挑战是难以观察意想不到的行为。例如,对于用户、测试人员或测试执行工具来说,事务可能看起来正确地进行,但实际上,组件抛出了一个未处理的异常,并且未能正确地处理它。一个控制系统可能会在测试三天内快速正确地响应,但可能会在生产的第四天出现内存泄漏并导致崩溃。

通过使用静态代码分析工具修复所有检测到的缺陷,并不能保证不会有其他缺陷导致类似的失败。这就是为什么将失败的定义应用于内部和外部行为是很重要的,即使在集成之后也是如此。内部故障必须在外部故障出现之前检测到。

结合静态和动态分析的最佳实践

将静态和动态分析相结合,是获得可操作结果、减少错误发生、增加错误检测并创建更安全代码的最佳选择。两者并无优劣之分。它们像精心制作的瑞士手表的所有齿轮一样协同工作。

要同时使用静态和动态分析,请遵循这些最佳实践:

  • 将它们与符合您需求的手动和自动化解决方案一起使用;

  • 使代码对其他开发人员具有可读性和可重用性;

  • 在SDLC的正确点使用正确的方法——在早期使用静态方法,在运行时环境中使用动态方法;

  • 利用这两种方法对您的项目进行更全面的概述;

  • 避免只依赖一种测试方法的陷阱,一个小的疏忽可能导致大的问题。

将静态和动态分析相结合,使团队能够定位更大范围和数量的代码威胁。

获取有价值的见解,来选择最适合您团队的软件测试解决方案。

Parasoft中国
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
静态分析简介
早点变成刘强东就好
08-16 7089
一:程序静态分析简介(Program Static Analysis): 程序静态分析简介(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。目前静态分析技术向模拟执行的技术发展以能够发现更多传统意义上动态测试才能发现的缺...
动态分析静态分析最主要的区别是什么?
02-22 3869
动态分析静态分析的主要区别是是否考虑时间因素。 动态分析(dynamic analysis)是相对于静态分析来讲的,动态分析是只改变一下自变量,因变量相应的做出的改变,动态改变一般是一次的改变,这种分析在经济学中很少用,尤其在基础经济学的过程中,动态经济学阐述了一段时间状态的变化过程,前后进行比较,而静态分析是对一种均衡状态所做的分析静态分析(static analysis)指的是一种均衡状态,一般指的是市场比较成熟,达到了利润固定的状态,这种状态可能是一种短暂的平衡或者是一种长久的平衡状态。
温故知新:静态分析
我相信......
11-07 966
代码在计算机上运行,但用途并不限于此,同样是用来阅读和理解的。不易理解的代码不能轻易地维护或改进,代码库的复杂性与其缺陷率之间存在着相关性。理解大型的代码库是困难的,因此需要各种工具和技术...
静态代码检测
指南针的博客
07-03 2075
静态代码分析是一种在软件开发过程中对源代码进行分析的技术。它通过检查代码的结构、语法、语义等方面,以发现潜在的错误、安全漏洞、性能问题等,并提供相应的建议和警告。与动态测试方法(如单元测试)不同,静态代码分析是在代码执行之前进行的,而不需要实际运行代码。发现潜在问题:静态代码分析可以帮助开发人员在早期发现代码中的潜在问题,包括语法错误、逻辑错误、未初始化的变量、空指针引用等。通过发现和修复这些问题,可以减少后期调试和修复的工作量,提高代码的质量和稳定性。
什么是静态代码分析静态代码分析概述:什么是静态分析| 什么时候使用静态代码分析器/源代码分析工具执行静态分析 | 静态分析动态分析 | 静态代码分析器/静态分析工具的局限性是什么
Polelink北汇信息的博客
07-19 331
静态分析可帮助面临压力的开发团队。高质量的版本需要按时交付。需要满足编码和合规性标准。错误不是一种选择。 这就是开发团队使用静态分析工具/源代码分析工具的原因。在这里,我们将讨论静态分析和使用静态代码分析器的好处,以及静态分析的局限性。 什么是静态分析静态分析是一种调试方法,通过自动检查源代码来完成,而无需执行程序。这使开发人员能够了解他们的代码库,并有助于确保其合规性和安全可靠性。
网络安全教程(4)
yuwoxinanA3的博客
03-26 7641
10-2-4信息安全国际标准 可信计算机系统评估标准原则 1983年,美国国防部发布了计算机系统安全等级划分的基本准则(Tmsted Computer System Evaluation Criteria,TCSEC),并在1985年对其进行了修订。TCSEC用了可信计算基(Trusted Computing Base,TCB)这一概念,即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。TCSEC论述的重点是通用的操作系统,为了使其评判方法活用于网络,美国国家安全中心于19...
静态时序分析
01-07
T1:时钟延迟(已知) T_cycle:时钟周期(已知) △T=T3-T2(已知)时钟偏斜 ...器件决定建立时间和保持时间门限。 T1=3ns,T2=2.5ns,T3=1.5ns T=2ns Tcycle=8ns,Tsetup = 0.5ns,Thold =0.5ns Tsslack=T
Android 静态分析
05-10
Android 静态分析 还可以参考http://blog.csdn.net/lpohvbe/article/details/7981386 注:invoke-static:调用静态方法,invoke-direct:调用私有或者构造函数,invoke-virtual:调用public或者protected方法
apkanalysis:APK 的静态动态分析
06-17
本文将探讨APK的静态分析动态分析方法,以及如何借助Python工具进行此类分析。 **一、静态分析** 静态分析是指在不运行代码的情况下,通过解析和检查APK文件中的元数据、资源、字节码等信息来理解程序行为。在...
linux静态库和动态库分析
07-29
本文主要探讨的是Linux下的静态库和动态库。 首先,我们要了解什么是库。库本质上是一组预编译的函数和数据结构,以二进制形式存在,可供操作系统加载执行。由于Windows和Linux的系统架构差异,它们之间的库文件是...
静态时序分析_fpga_静态时序分析_
09-29
在电子工程领域,特别是针对FPGA(Field-Programmable Gate Array)的设计和优化,静态时序分析(Static Timing Analysis,STA)是一项至关重要的技术。它是一种无输入激励的时序验证方法,能够准确评估数字电路的...
静态代码和动态代码的区别_静态和动态代码分析之间有什么区别,您如何知道使用哪个?...
weixin_39585617的博客
12-16 2550
让我们从一个运动类比开始,以帮助说明这两种方法之间的差异。静态代码分析类似于练习网和投球机练习棒球挥杆。最小的惊喜。经过几次挥杆后,您每次都知道球的确切位置。这有助于处理基础知识并确保您拥有良好的形式。虽然这有助于改善你的游戏,但它只能让你到目前为止。动态代码分析更像是练习你的挥杆与现场投手,每个球场的类型和位置的变化。它不仅测试您的基本面,还测试您对不同的意外情况作出反应的能力。在生产中完成时,...
静态分析常见问题
小刚专栏
04-08 1229
静态分析也是codereview重要环节,越是成熟的企业,越是对这些细节关注或投入巨大精力(其实都是伤害过才知道) C++这个双刃剑,需要更小心翼翼才可以不被伤到 静态分析工具,可以使用C++ Test也可以使用轻量的CppCheck, 个人觉得还是根据实际来进行,比如,真的很重视代码质量,建议用C++ Test,毕竟比较专业,能检查的东西也比较多 如果仅仅自己使用,比如说重视下自己的代码,可以用Cppcheck,其实cppcheck很不错了,还可以支持自己开发 前面写过关于CppCh..
动态分析基础技术
Hvnt3r的博客
03-06 3757
动态分析基础技术 原文链接:https://hvnt3r.top/2019/01/动态分析基础技术/ 知识点 与静态分析不同,动态分析是将恶意代码加载运行之后观察代码运行状态的一个过程,一般来说,对恶意代码进行分析时先进行静态分析来大致了解软件的功能再进行动态分析以了解恶意代码运行时的更多细节,静态分析动态分析都有各自的有点以及局限性,本章重点介绍了动态分析的一些手法和技巧。 **用沙箱来分析恶...
Android沙盘原理与实现
joy
02-01 1704
Android沙盘原理与实现 http://security.tencent.com/index.php/blog/msg/7 【作者】:riusksk(泉哥) 【团队】:腾讯安全应急响应中心 【微博】:http://t.qq.com/riusksk 【博客】:http://hi.baidu.com/riusksk 【日期】:2012年10月2日 一、前言
程序静态分析
weixin_34383618的博客
09-06 1019
这是我在实习期间对程序静态分析写的报告,以普及大家对程序静态分析 程序静态分析简述 静态程序分析: 程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。 它可以帮助软件开发人员、质量保证人...
国内外主流静态分析类工具汇总
热门推荐
manok的专栏
07-27 1万+
笔者从事该软件安全方面工作,在工作和学习中收集了国内外比较主流的静态分析类工具,供大家参考。大多是资料来自于网络整理,如有不足或欠缺,还请在评论中指出。我进行修正。也欢迎同行多多交流。 我使用0标注北大软件CoBOT,因为他是国内第一款基于主流SAST技术的静态分析工具,填补了国内在缺陷检测、安全漏洞软件工具上的空白。值得称赞的工具。 0、北大软件CoBOT CoBOT(库博)是北京大学...
静态分析
weixin_42955958的博客
05-25 166
修改订单功能 Sun: MallAdminApplication OmsOrderSettingController: OmsOrderSettingService OmsOrderSettingServiceImpl OmsOrderSetting google MallAdminApplication OmsOrderSettingController: OmsOrderSettingService OmsOrderSettingServi
【软件分析学习笔记】3:静态程序分析(Static Program Analysis)介绍
LauZyHou的笔记
03-06 5250
最近的南大软件分析课,讲的就完全是静态分析的内容,目前先跟着这个课学习软件分析的内容,北大熊老师的课光看课件太难懂了。 1 PL和静态分析的背景 之前吴老师也提到,做形式化也是在做PL(Programing Language)。这里李老师将PL分成三部分: 理论部分:语言设计、类型系统、形式语义和程序逻辑等。即在理论上构建出一个语言。 环境部分:编译、运行时系统等。即相应的支撑语言运行的一套系统...
静态分析动态分析在反诈中的应用
最新发布
01-04
静态分析动态分析是反诈中常用的两种方法。静态分析是指在不运行应用程序的情况下,通过对应用程序的代码、配置文件等进行分析,来发现潜在的漏洞和安全问题。动态分析则是在运行应用程序的过程中,通过监控应用程序的行为和交互,来检测恶意行为和攻击。 静态分析在反诈中的应用主要包括以下几个方面: 1. 恶意代码检测:通过对应用程序的代码进行静态分析,可以检测出其中是否包含恶意代码,如后门、木马等。 2. 漏洞分析静态分析可以帮助发现应用程序中的漏洞,如缓冲区溢出、代码注入等,从而提前修复这些漏洞,防止被黑客利用。 3. 安全策略检查:静态分析可以检查应用程序的安全策略是否合理,如权限控制、输入验证等,以确保应用程序的安全性。 4. 代码审计:通过对应用程序的代码进行静态分析,可以发现其中的安全问题和潜在漏洞,从而提供修复建议和改进方案。 动态分析在反诈中的应用主要包括以下几个方面: 1. 行为监控:动态分析可以监控应用程序的行为,如文件读写、网络通信等,以检测是否存在异常行为和恶意操作。 2. 输入验证:动态分析可以对应用程序的输入进行监控和验证,以检测是否存在恶意输入和攻击。 3. 恶意行为检测:动态分析可以检测应用程序的运行过程中是否存在恶意行为,如数据窃取、篡改等。 4. 漏洞利用检测:动态分析可以模拟攻击者的行为,以检测应用程序是否容易受到已知的漏洞利用。 综上所述,静态分析动态分析在反诈中都有重要的应用,可以帮助发现和防止恶意行为和攻击。具体选择使用哪种方法,需要根据具体情况和需求来决定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值