それなりの規模のソフト開発における静的コード解析活用プラクティス

それなりの規模のソフト開発における静的コード解析ツール活用プラクティス 2014/05/28　@masskaneko

自己紹介 • 組込み系ソフトウェアエンジニア • コンシューマー～エンタープライズ両方 • ソフトウェア工学を実践するコンサルティング • 「SEPG」「SWET」「たんぽぽチーム」と言えばなんとなく伝わるかも。
• SNSとか • @masskaneko, はてなブログ, Fb, LinkedIn

お話のスコープ • それなりの大きさの開発向け • 10人以上, 20万行以上, ライフ5年以上...だとか • C/C++, Java
• スタイルチェック(特にバグの警告)について有効に使うためのプラクティスであんまり語られていないところ。 • ツールの例は話しますが、特定のツールの話はしません。 • 構造解析や形式手法の話はありません • セキュアプログラミングの話はありません

静的コード解析で出力される警告の一部 • 特にユーザーの不利益に繋がりやすいもの • バッファーオーバーラン、メモリーリーク、NULL 参照、デッドロック、0除算、危険なキャスト… • よくない設計 • 到達不可能な文、未使用の変数、
非推奨ライブラリの使用、 for 文中でループ変数を計算、 default の無い switch 文…

ツール例 • 無償 • [C/C++] Cppcheck, CPAchecker • [Java] FindBugs,
PMD • 商用 • Coverity Static Analysis • Grammatech CodeSonar • Mathworks PolySpace

ツール適用から修正までの流れ • バグを見つけてくれるわけではない。「バグではないか？」と警告してくれるだけ。 • 全ての警告に対処する必要は無い。コード静的コード解析する警告フィルタリング
レビューすべき警告修正されたコード ※ 修正方法の検討ユニットテストレビュー関連文書修正なども含みますレビューバグ

警告は沢山出てくる対象言語行数警告数警告数/1000行 MongoDB 2.6 C++ 551508
1285 2.3 Apache 2.4.9 C 95877 731 7.6 Maven 3.2.1 Java 42753 858 20.0 Cppcheck : 1.65 FindBugs : 2.0.3 SourceMonitor : 3.4.6.297 (行数の測定に使用. 正確には文の数) 適当にメジャーなOSSを3つピックアップした Cppcheck : 1.65 FindBugs : 2.0.3 SourceMonitor : 3.4.6.297 (行数の測定に使用. 正確には文の数)

警告は沢山出てくる対象言語行数警告数警告数/1000行 Telecom EMS/NMS system C++
6M LOC 400k 66.6 Financial Web App Java JS 1M LOC 20k 20.0 全ての警告をレビューすることは非効率。 (注)先に示したOSSの例との単純比較はできない。行の数え方が異なる。使用した静的コード解析ツールが同じとは限らない。米Intuit社エンジニア John Ruberto 氏の発表(*2)によると

警告をフィルタリング • 重要な機能に関係する箇所に絞る • 警告の種類で絞る • バグが起きそうな箇所に絞る(多発箇所) • バグが起きそうな箇所に絞る(他の案)

重要な機能に関係する箇所に絞る • 何かもっともらしいけど…警告されたコードがどの機能に関係しているかわかりますか？ • 普段触れないコードも警告対象になる。チームの誰に聞いてもわからなかったりして。 • grepとか構造解析ツールで頑張る。 •
その機能はユーザーにとって重要ですか？ • ユーザーの使い方を把握しておこう • よく使われる機能であればレビュー対象にしよう

警告の種類で絞る • 静的コード解析の目的、開発対象に求められる品質、設計の傾向に合わせた警告セットを決める • クリティカルバグ検出セットスタイルチェックセット CI向け標準セット時間が無いときでもこれだけはセット…など。
• FindBugs, PMD だとあらかじめカテゴリが分けられているが、そのまま適用するのが吉かは疑問。

バグが起きそうな箇所に絞る(多発箇所) • 今までに起きたバグの中で静的コード解析ツールが検出の役に立ちそうなのはどれか？それらのバグは「どこで」起こったのか？振り返ることができるBTSの運用をする。 • 「起きた箇所」はVCSと連携していれば容易 • どのようなテストで検出できたかを記録する欄を
設けて、その選択肢に「静的コード解析」を作っておく。 ※判断するのは意外と難しいかも • 多発箇所はこの先も起こると仮定。 • 多発箇所は警告セットを厳しめに。

バグが起きそうな箇所に絞る(他の案) • 複雑さを表すコードメトリクスを利用する • サイクロマティック複雑度とかLCOMとか • 複雑なコードほどバグが起きやすい • 警告数と複雑さ…因果は無いだろうけど相関はあるのでは？ •
bugspots のスコアを利用する • リポジトリを食わせるとフォルダとファイル別にバグの起きやすさを示すスコアが出てくる。 • スコア計算式の変数は変更回数だけなので静的コード解析で見つかるバグではないのでは。一工夫すれば使えるかも？ (注)筆者自信なし

警告対象コードをレビューする • 普通のコードレビューと違うところ • 警告内容が正しいか人の目で確かめる。正しい場合、修正すべきか判断する。 • 理解不十分なコードもレビュー対象になる。 (普段、追加や変更をする箇所だけではない。) •
警告あたりのレビュー時間は様々 • 悩むと警告1つに何時間も費やしかねない… • 10秒でわかるものもある

func( MyTable* p ) { if( (p->data == INVALID )
|| (p == NULL) ) return; ... } 10秒でわかる例

func(*a, *b) { *p; *q; … p = foo(a->x, b->y);
… q = baa(a->w, b->w); … … … … r = heck(p,q); … r->data = …; Warning: Null Pointer Dereference えーとまず r は p, q から求まってその p, q は…あーこれか heck() には return NULL; 無いから絶対有効なアドレスが入るはずなんだけどなーあれ？でも a, b って元はファイルから読んでくるんだったよな… とりあえず foo, baa, heck 全部読むかうわッ！長ッ…！面倒だから全部NULLチェックするか… ってもしそれで抜けちゃったらそのあとはどうすれば… 悩むことも

警告に関する修正優先度の例修正優先度説明修正方針最高警告された内容がユーザーの使用環境で発生し、ユーザーに不利益をもたらす。絶対に直す。高
警告された内容はユーザーの使用環境で発生するものの、ユーザーに不利益はもたらさない。これも絶対に直したいが、やむを得ない事情があれば見送る場合も。中・警告された内容はユーザーの使用環境では発生しないが、開発者環境では発生させることができる。・バグではないが、バグを誘発しやすいスタイル。将来のバグの素なので、これらをいかに潰すかが肝。無ツールの誤検出。本当に誤検出なのか、よく考える。「ユーザー環境で発生しないから誤検出だ」などと考えないこと。

修正判断に自信が無い場合 • ユニットテストを書いてみよう • 自信が無いのは警告対象コードを理解してないから • ユニットテストを書けば理解が進む (*3) • バグが起こるという警告であれば、そのバグを起こそ
うという姿勢でテストを書く • 他の人にレビューしてもらおう • 一人では見逃すバグがすぐ発見できるかも • チームでコードを共有する機会ができる • 相手に話しているうちに理解が進む

いつ静的コード解析ツールを使うの？ • いつでも、こまめに、がベター。 • CIに組み込むのがベスト。 • 解析時間が長く、レポートの容量が大きい場合は週1だとかで良いのではないでしょうか。 • 軽量ツールならIDEに組み込む。
• 開発フェーズの早期から。 • 終盤で1回だと、目の前のクリティカルなバグだけに注意が払われるので効果が薄い。

最も身近な静的コード解析 • コンパイラのwarnings • わざわざ静的コード解析ツールを導入しなくてもチェックできる項目があったりして。 • これならいつでもできる… はずなんですけど、見てますよね？ •
コンパイルできればいいやと無視してると静的コード解析ツールを導入したときに今までのツケを払うことになる。

まとめ

静的コード解析以外のプラクティスが静的コード解析の成否につながる • コンパイラのwarningsに気を付けていれば余分なレビューをしなくて済む • BTSでバグの発生箇所や静的コード解析検出可能性を記録していれば警告のフィルタリングに役立つ。 • ユニットテスト等、警告対象コードをすぐに
実行できる環境があれば判断に自信を持てる。 • チームメンバー同士でコードの共通理解があればレビューが楽になる。

バグ検出よりもコード品質を重視する姿勢が静的コード解析の成否につながる • 目の前のバグを直すのは当たり前 • バグになりそうな箇所も直そう • ユーザー環境で発生するバグだけでなく、開発者環境だけで発生するバグも直す。 •
バグを誘発しやすいスタイルを直す。 • どういうコードが良いのか学ぶ機会になる。 (アンチパターンを見つけて避けられるように)

References • *1:【CEDEC 2012】静的コード解析ツールがバグを潰し、新人を育てる http://www.inside-games.jp/article/2012/08/31/59369.html • *2: Introducing Static
Analysis in a Mature Codebase http://www.slideshare.net/JohnRuberto/introducing-static-analysis-john-ruberto-jan-2014 • *3: レガシーコード改善ガイド 2009, 翔泳社 http://books.shoeisha.co.jp/book/b73170.html •

それなりの規模のソフト開発における静的コード解析活用プラクティス

それなりの規模のソフト開発における静的コード解析活用プラクティス

masskaneko

Other Decks in Programming

Featured

Transcript

それなりの規模のソフト開発における静的コード解析ツール活用プラクティス 2014/05/28　@masskaneko

自己紹介 • 組込み系ソフトウェアエンジニア • コンシューマー～エンタープライズ両方 • ソフトウェア工学を実践するコンサルティング • 「SEPG」「SWET」「たんぽぽチーム」と言えばなんとなく伝わるかも。

お話のスコープ • それなりの大きさの開発向け • 10人以上, 20万行以上, ライフ5年以上...だとか • C/C++, Java

ツール例 • 無償 • [C/C++] Cppcheck, CPAchecker • [Java] FindBugs,

ツール適用から修正までの流れ • バグを見つけてくれるわけではない。「バグではないか？」と警告してくれるだけ。 • 全ての警告に対処する必要は無い。コード静的コード解析する警告フィルタリング

警告は沢山出てくる対象言語行数警告数警告数/1000行 MongoDB 2.6 C++ 551508

警告は沢山出てくる対象言語行数警告数警告数/1000行 Telecom EMS/NMS system C++

警告をフィルタリング • 重要な機能に関係する箇所に絞る • 警告の種類で絞る • バグが起きそうな箇所に絞る(多発箇所) • バグが起きそうな箇所に絞る(他の案)

func( MyTable* p ) { if( (p->data == INVALID )

func(a, b) { p; q; … p = foo(a->x, b->y);

警告に関する修正優先度の例修正優先度説明修正方針最高警告された内容がユーザーの使用環境で発生し、ユーザーに不利益をもたらす。絶対に直す。高

修正判断に自信が無い場合 • ユニットテストを書いてみよう • 自信が無いのは警告対象コードを理解してないから • ユニットテストを書けば理解が進む (*3) • バグが起こるという警告であれば、そのバグを起こそ

最も身近な静的コード解析 • コンパイラのwarnings • わざわざ静的コード解析ツールを導入しなくてもチェックできる項目があったりして。 • これならいつでもできる… はずなんですけど、見てますよね？ •

まとめ

References • 1:【CEDEC 2012】静的コード解析ツールがバグを潰し、新人を育てる http://www.inside-games.jp/article/2012/08/31/59369.html • 2: Introducing Static