Warum verwenden Softwareentwickler keine Werkzeuge zur ...€¦ · Warum verwenden Softwareentwickler keine Werkzeuge zur stati-schen Codeanalyse? Thies Johannsen Freie Universität

Warum verwenden Softwareentwickler keine Werkzeuge zur stati-schen Codeanalyse?

Thies JohannsenFreie Universität Berlin

9. Juli 2015

Übersicht

EinführungWas ist statische Codeanalyse?

Ein einfaches Beispiel: unerreichbarer CodeWerkzeuge zur statischen Codeanalyse

Studie: Why Don’t Software Developers Use Static Analysis Tools to FindBugs?

Schwierigkeiten bei der statischen CodeanalyseFalse PositivesZu viele Meldungenschlechte Fehlermeldungen

Zusammenfassung

,Thies Johannsen, 9. Juli 2015 2/ 44

Was ist statische Codeanalyse?

É wird auch Quellcodeanalyse genanntÉ formale Prüfung des Quellcodes auf FehlerÉ wird ausgeführt bevor der Code übersetzt wird

,Thies Johannsen, 9. Juli 2015 3/ 44

Was ist statische Codeanalyse?

Welche Fehler werden erkannt?

É Typechecking (passen die Datentypen)É Puffer-ÜberläufeÉ Speicherlecks (new ohne delete, verlorene Pointer)É unerreichbarer Code (siehe Beispiel)É Stylechecking (werden bei switch...case... alle Optionen beachet)É ...

,Thies Johannsen, 9. Juli 2015 4/ 44

Beispiel: unerreichbarer Code

Ein einfaches Beispiel:Unerreichbarer Code

,Thies Johannsen, 9. Juli 2015 5/ 44

Beispiel: unerreichbarer Code

1 #include <stdio .h>2 #include <stdint .h>34 int main( ) {5 uint32_t foo ;67 i f (1)8 foo = 0x12345678;9 else

10 foo = 0x89abcdef ;1112 pr int f ( "%x\n" , foo ) ;1314 return 0;15 }

,Thies Johannsen, 9. Juli 2015 6/ 44

Beispiel: unerreichbarer Code

,Thies Johannsen, 9. Juli 2015 7/ 44

Beispiel: unerreichbarer Code

,Thies Johannsen, 9. Juli 2015 7/ 44

Beispiel: unerreichbarer Code

1 0: 55 push %rbp2 1: 48 89 e5 mov %rsp,%rbp3 4: 48 83 ec 10 sub $0x10,%rsp4 8: 48 bf 00 00 00 00 00 movabs $0x0,%rdi5 f: 00 00 006 12: c7 45 fc 00 00 00 00 movl $0x0,-0x4(%rbp)7 19: c7 45 f8 78 56 34 12 movl $0x12345678,-0x8(%rbp)8 20: 8b 75 f8 mov -0x8(%rbp),%esi9 23: b0 00 mov $0x0,%al

10 25: e8 00 00 00 00 callq 2a <main+0x2a>11 2a: 31 f6 xor %esi,%esi12 2c: 89 45 f4 mov %eax,-0xc(%rbp)13 2f: 89 f0 mov %esi,%eax14 31: 48 83 c4 10 add $0x10,%rsp15 35: 5d pop %rbp16 36: c3 retq

,Thies Johannsen, 9. Juli 2015 8/ 44

Beispiel: unerreichbarer Code

É Der Code wird ohne Warnungen übersetzt.É Der tote Code wird vom Compiler wegoptimiert.É Das Programm arbeitet genau wie erwartet.

É Also alles in Ordnung?

É Konnte der Code wirklich wegoptimiert werden oder liegt dasProblem eventuell woanders?

É Warum informiert mich der Compiler nicht darüber, dass kompletteCodeblöcke entfernt werden?

É Codezeilen werden üblicherweise nicht ohne Grund geschrieben.

,Thies Johannsen, 9. Juli 2015 9/ 44

Beispiel: unerreichbarer Code

É Der Code wird ohne Warnungen übersetzt.É Der tote Code wird vom Compiler wegoptimiert.É Das Programm arbeitet genau wie erwartet.É Also alles in Ordnung?

É Konnte der Code wirklich wegoptimiert werden oder liegt dasProblem eventuell woanders?

É Warum informiert mich der Compiler nicht darüber, dass kompletteCodeblöcke entfernt werden?

É Codezeilen werden üblicherweise nicht ohne Grund geschrieben.

,Thies Johannsen, 9. Juli 2015 9/ 44

Beispiel: unerreichbarer Code

É Der Code wird ohne Warnungen übersetzt.É Der tote Code wird vom Compiler wegoptimiert.É Das Programm arbeitet genau wie erwartet.É Also alles in Ordnung?

É Konnte der Code wirklich wegoptimiert werden oder liegt dasProblem eventuell woanders?

É Warum informiert mich der Compiler nicht darüber, dass kompletteCodeblöcke entfernt werden?

É Codezeilen werden üblicherweise nicht ohne Grund geschrieben.

,Thies Johannsen, 9. Juli 2015 9/ 44

Beispiel: unerreichbarer Code

É Der Compiler prüft auf lexikalische/syntaktische Korrektheit.

É Ist der Quellcode korrekt, wird er übersetzt und optimiert.É Semantik wird nicht betrachtet.

Eine mögliche Lösung:

Mit statischer Codeanalyse den Quelltext untersuchen.

,Thies Johannsen, 9. Juli 2015 10/ 44

Beispiel: unerreichbarer Code

É Der Compiler prüft auf lexikalische/syntaktische Korrektheit.É Ist der Quellcode korrekt, wird er übersetzt und optimiert.

É Semantik wird nicht betrachtet.

Eine mögliche Lösung:

Mit statischer Codeanalyse den Quelltext untersuchen.

,Thies Johannsen, 9. Juli 2015 10/ 44

Beispiel: unerreichbarer Code

É Der Compiler prüft auf lexikalische/syntaktische Korrektheit.É Ist der Quellcode korrekt, wird er übersetzt und optimiert.É Semantik wird nicht betrachtet.

Eine mögliche Lösung:

Mit statischer Codeanalyse den Quelltext untersuchen.

,Thies Johannsen, 9. Juli 2015 10/ 44

Beispiel: unerreichbarer Code

É Der Compiler prüft auf lexikalische/syntaktische Korrektheit.É Ist der Quellcode korrekt, wird er übersetzt und optimiert.É Semantik wird nicht betrachtet.

Eine mögliche Lösung:

Mit statischer Codeanalyse den Quelltext untersuchen.

,Thies Johannsen, 9. Juli 2015 10/ 44

Beispiel: unerreichbarer Code

1 #include <stdio .h>2 #include <stdint .h>34 int main( ) {5 uint32_t foo ;67 i f (1)8 foo = 0x12345678;9 else

10 foo = 0x89abcdef ;1112 pr int f ( "%x\n" , foo ) ;1314 return 0;15 }

,Thies Johannsen, 9. Juli 2015 11/ 44

Beispiel: unerreichbarer Code

Clang Static Analyzer

scan-build: Using ’/usr/lib/llvm-3.6/bin/clang’for static analysis

if_true.c:10:11: warning: This statement is never executedfoo = 0x89abcdef;

^~~~~~~~~~1 warning generated.scan-build: 1 bug found.scan-build: Run

’scan-view /tmp/scan-build-2015-07-01-111953-6304-1’to examine bug reports.

,Thies Johannsen, 9. Juli 2015 12/ 44

Beispiel: unerreichbarer Code

,Thies Johannsen, 9. Juli 2015 13/ 44

Beispiel: unerreichbarer Code

,Thies Johannsen, 9. Juli 2015 14/ 44

Übersicht über Werkzeuge zur statischenCodeanalyse

Tabelle: Gängige Analysewerkzeuge

Tool ProgrammierspracheFxCop .NET (prüft CIL)Clang C, C++, Objective-C, Objective-C++Cppcheck C, C++Lint/Splint C, C++Checkstyle JavaFindBugs Java

Plugins sind für diverse IDEs verfügbar

,Thies Johannsen, 9. Juli 2015 15/ 44

Übersicht über Werkzeuge zur statischenCodeanalyse

In die meisten IDEs ist bereits eine einfache Analysefunktion integriert.

Abbildung: Hinweis auf unbenutzte Variable in QtCreator

,Thies Johannsen, 9. Juli 2015 16/ 44

Funktionsweise

1 i f (a > b) {2 nConsec = 0;3 } else {4 s1 = getHexChar(1) ;5 s2 = getHexChar(2) ;6 }7 return nConsec;

,Thies Johannsen, 9. Juli 2015 17/ 44

Funktionsweise

(B. Chess, J. West, “Secure Programming with Static Analysis: Getting Software Security Right with StaticAnalysis“, Addison-Wesley Professional, 2007)

,Thies Johannsen, 9. Juli 2015 18/ 44

Funktionsweise

É Aufrufgraph für Funktionen wird erzeugtÉ Datenfluss wird kontrolliert

É Wird eine Variable mehrfach beschrieben ohne gelesen zu werden?É Wird aus uninitialisierten Variablen gelesen?

É Mit Hilfe eines Zustandsautomaten wird geprüft, ob auf jedes new eindelete folgt.

É weitere Sprachenabhängige Regeln

,Thies Johannsen, 9. Juli 2015 19/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

Why Don’t Software Developers Use Static Analysis Tools toFind Bugs?

Brittany Johnson, Yoonki Song, Emerson Murphy-Hill, Robert BowdidgeICSE 2013

,Thies Johannsen, 9. Juli 2015 20/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

É Analysetools machen das finden von Bugs schneller und günstiger.

É Alle Teilnehmer der Studie sind der Meinung, dass die Verwendungvon Analysetools Vorteile bringt.

É Warum benutzt es trotzdem kaum jemand?

,Thies Johannsen, 9. Juli 2015 21/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

É Analysetools machen das finden von Bugs schneller und günstiger.É Alle Teilnehmer der Studie sind der Meinung, dass die Verwendung

von Analysetools Vorteile bringt.

É Warum benutzt es trotzdem kaum jemand?

,Thies Johannsen, 9. Juli 2015 21/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

É Analysetools machen das finden von Bugs schneller und günstiger.É Alle Teilnehmer der Studie sind der Meinung, dass die Verwendung

von Analysetools Vorteile bringt.

É Warum benutzt es trotzdem kaum jemand?

,Thies Johannsen, 9. Juli 2015 21/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

Forschungsfragen:

É What reasons do developers have for using or not using staticanalysis tools to find bugs?

É How well do current static analysis tools fit into the workflows ofdevelopers? We define a workflow as the steps a developer takeswhen writing, inspecting and modifying their code.

É What improvements do developers want to see being made to staticanalysis tools?

,Thies Johannsen, 9. Juli 2015 22/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

Forschungsfragen:

É What reasons do developers have for using or not using staticanalysis tools to find bugs?

É How well do current static analysis tools fit into the workflows ofdevelopers? We define a workflow as the steps a developer takeswhen writing, inspecting and modifying their code.

É What improvements do developers want to see being made to staticanalysis tools?

,Thies Johannsen, 9. Juli 2015 22/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

Forschungsfragen:

É What reasons do developers have for using or not using staticanalysis tools to find bugs?

É How well do current static analysis tools fit into the workflows ofdevelopers? We define a workflow as the steps a developer takeswhen writing, inspecting and modifying their code.

É What improvements do developers want to see being made to staticanalysis tools?

,Thies Johannsen, 9. Juli 2015 22/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

Teilnehmer an der Studie:

É 20 Teilnehmer insgesamtÉ 16 professionelle EntwicklerÉ 4 Studenten (graduate) mit Berufserfahrung

É 2 Teilnehmer hatten Erfahrung im Erstellen von StatischenAnalysetools.

É 2 Teilnehmer wurden per Telefon, bzw. Videochat befragt.

,Thies Johannsen, 9. Juli 2015 23/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?

,Thies Johannsen, 9. Juli 2015 24/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?Methodik:

É „halb-strukturiertes“ Interview, 40 - 60 MinutenÉ Es wurde ein Frageboden vorbereitet, aber abhängig von den Antworten

der Teilnehmer wurden spontan weitere Fragen gestellt oder ausgelassen.

É Interaktives InterviewÉ Die Teilnehmer wurden bei ihrer Arbeit beobachtet und gebeten ihren

Arbeitsablauf zu erklären.É Währenddessen wurden Fragen gestellt:

É Now that you have run your tool and gotten your feedback, what is your nextmove(s)?

É Do you configure the settings of your tool from default? If so, how?É Does this static analysis tool aid in assessing what to do about a warning?É Do you feel that ”quick fixes” or code suggestions would be helpful if they

were available?É 6 Teilnehmer konnten aus Vertraulichkeitsgründen nicht am interaktiven

Interview teilnehmen, diese bekamen Aufgaben gestellt.É Den 2 Teilnehmern, die per Telefon, bzw. Videochat befragt wurden,

wurde ein Szenario vorgelegt und es wurde gefragt, wie sie vorgehenwürden.

É Participatory DesignÉ Den Teilnehmern wurde ein leeres Blatt Papier gegeben und sie durften

nach belieben schreiben/zeichnen, welche Verbesserungen an denAnalysewerkzeugen sie gerne hätten.

,Thies Johannsen, 9. Juli 2015 25/ 44

Why Don’t Software Developers Use StaticAnalysis Tools to Find Bugs?Methodik:

É „halb-strukturiertes“ Interview, 40 - 60 MinutenÉ Es wurde ein Frageboden vorbereitet, aber abhängig von den Antworten

der Teilnehmer wurden spontan weitere Fragen gestellt oder ausgelassen.É Interaktives Interview

É Die Teilnehmer wurden bei ihrer Arbeit beobachtet und gebeten ihrenArbeitsablauf zu erklären.

É Währenddessen wurden Fragen gestellt:É Now that you have run your tool and gotten your feedback, what is your next

move(s)?É Do you configure the settings of your tool from default? If so, how?É Does this static analysis tool aid in assessing what to do about a warning?É Do you feel that ”quick fixes” or code suggestions would be helpful if they