Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Statische Code-Analyse

move:elevator
May 20, 2016
Technology
1
400

Statische Code-Analyse

Vortrag zum 2. Meetup 2016 der PHP USERGROUP Dresden.

move:elevator

May 20, 2016
Tweet

More Decks by move:elevator

See All by move:elevator
Event Sourcing
moveelevator
0
60
Agile Organisation
moveelevator
0
520
Middleware in TYPO3
moveelevator
0
500
PWA in Practice
moveelevator
0
35
Extbase: Alternativen zu "findAll"
moveelevator
0
260
Structured Data mit TYPO3
moveelevator
0
51
So geht Employer Branding
moveelevator
0
190
Kundenportale mit TYPO3
moveelevator
0
45
React Native Web
moveelevator
1
54

Other Decks in Technology

See All in Technology
競プロ作問を支える技術
tsutaj
0
250
エンジニアのキャリアパスはどう描く? まつもとりーさんと考える後悔しないキャリア選択
matsumoto_r
PRO
2
270
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
10
26k
人工知能学会 AI哲学マップ・総括セッション 講演資料
miyayou
3
840
「Go Style Guide」から学んだ可読性の高いコードの書き方
andpad
5
2.8k
新リリース:microCMSテンプレート
microcms
1
780
RedMica 2.3 (2023-05) 新機能ハイライト およびRedmineの2023年5月までの半年間の主要な開発成果
vividtone
0
140
APIによるレガシーシステムの改善
techtekt
0
160
応用から学ぶ強化学習
nearme_tech
0
200
Web Intelligence and Visual Media Analytics
weblyzard
PRO
1
3.3k
「エンジニアリングで運用を改善する」ためのAmazon CloudWatch活用
mitsuaki96
1
840
NestJS をかじってみた / MIERUNE BBQ #01 / #mierune
tacck
0
270

Featured

See All Featured
Optimising Largest Contentful Paint
csswizardry
2
790
Adopting Sorbet at Scale
ufuk
66
8k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
19k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
13k
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
Designing for Performance
lara
601
65k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
How to name files
jennybc
51
80k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.3k
The World Runs on Bad Software
bkeepers
PRO
59
5.9k
Six Lessons from altMBA
skipperchong
16
2.5k

Transcript

  1. GROUP

    View Slide

  2. Statische Code-Analyse

    View Slide

  3. Agenda
    Warum statische Code-Analyse betreiben
    Coding-Standards und Regeln
    Analyse und Auswertung
    Pro Tipps und Erfahrungsaustausch
    Ausblick

    View Slide

  4. Team-Lead Business Solutions
    seit April 2010 bei move:elevator
    https://tommy-muehle.de
    https://twitter.com/tommy_muehle

    View Slide

  5. Warum statische

    Code-Analyse?

    View Slide

  6. Es geht ums Geschäft

    View Slide

  7. Statische Code-Analyse
    Warum?
    Potentielle Fehler vermeiden: Komplexen und anfälligen

    Code finden.
    Wichtigen Code finden: Wissen wo die (wirtschaftlich-) kritischen 

    Stellen meiner Applikation sind.
    Design-Fehler aufzeigen : Abhängigkeiten erkennen und Verstöße

    gegen Best-Practices finden.

    View Slide

  8. Statische Code-Analyse
    Was kann ich damit nicht?
    Inhaltliche Fehler aufdecken: Kein Ersatz für menschliche

    Reviews und ggf. manuelle Tests.
    Sicher sein: Metriken können geschönt und auch nicht 

    aussagekräftig sein.

    View Slide

  9. Womit beginnen?

    View Slide

  10. Standards

    View Slide

  11. Einheitliche Formatierung
    Coding-Standards

    View Slide

  12. View Slide

  13. Coding-Standards
    Einarbeitung minimieren: Wiedererkennbarer und 

    leserlicher Quellcode.
    Warum Coding-Standards verwenden?
    Wartbarkeit erhöhen: Gut leserlicher Quellcode ist in der

    Regel auch wartbarer.

    View Slide

  14. https://github.com/squizlabs/PHP_CodeSniffer
    PHP_CodeSniffer

    View Slide

  15. View Slide

  16. Prüfung auf definierte Regeln
    Mess Detection

    View Slide

  17. Mess Detection
    Einhaltung von Best-Practices: Bekannte Verfahren und Abläufe

    sicherstellen.
    Warum Code auf Regeln prüfen?
    Code-Qualität gewährleisten: 

    Projektübergreifend gleichbleibende Code-Qualität.

    View Slide

  18. https://github.com/phpmd/phpmd
    PHPMD

    View Slide

  19. View Slide

  20. Analyse

    View Slide

  21. https://github.com/sebastianbergmann/phploc
    phploc

    View Slide

  22. phploc
    Projektgröße analysieren: Anzeige diverser Messdaten.
    Was kann ich damit tun?
    Ersten Eindruck gewinnen: Übersicht über Struktur 

    und Code erhalten.

    View Slide

  23. View Slide

  24. https://github.com/pdepend/pdepend
    PDepend

    View Slide

  25. PDepend
    Metriken generieren: Metriken für CodeRank, Efferent Coupling

    u.a. erstellen.
    Übersicht visualisieren: Erstellung einer Overview Pyramid 

    sowie Abstraction Instability Charts möglich.
    Was kann ich damit tun?

    View Slide

  26. View Slide

  27. View Slide

  28. https://github.com/sebastianbergmann/phpcpd
    PHPCPD

    View Slide

  29. PHPCPD
    Duplizierten Code finden: Wo wurde Code 1:1 oder anteilig in Prozent

    kopiert und nicht ausgelagert.
    Was kann ich damit tun?

    View Slide

  30. View Slide

  31. Auswertung

    View Slide

  32. https://github.com/Qafoo/QualityAnalyzer
    QualityAnalyzer

    View Slide

  33. QualityAnalyzer
    Was kann ich damit machen?
    Visualisierung: Übersichtliche Visualisierung anhand der 

    generierten Metriken.
    Schnellen Einblick gewinnen: Wo sind komplexe 

    Klassen und Methoden? Wo sind Violations?


    View Slide

  34. View Slide

  35. View Slide

  36. View Slide

  37. Pro Tipps

    View Slide

  38. Nützliche Werkzeuge

    View Slide

  39. https://github.com/FriendsOfPHP/PHP-CS-Fixer
    PHP-CS-Fixer

    View Slide

  40. PHP-CS-Fixer
    Alternative zur manuellen Anpassung: Optimal um in 

    Legacy-Applikationen Coding-Standards einzuführen.
    Welchen Mehrwert habe ich davon?
    Extrem konfigurierbar: Mehr als 20 vordefinierte Fixer (Regel-Klassen)

    bereits vorhanden.
    Automatisierbar für CI’s: Die Konfiguration kann in einer speziellen

    .php_cs Datei hinterlegt und automatisiert geprüft werden.

    View Slide

  41. https://github.com/FriendsOfPHP/security-advisories
    security-advisories und

    checker

    View Slide

  42. security-advisories
    Sicherheitsüberprüfung: Prüfung der eingesetzten Libraries, 

    Bundles oder Components auf bekannte Sicherheitslücken.
    Was kann ich damit tun?
    Verbreitung von Schadcode verhindern: 

    Schützt eure Projekte indem ihr dies als Pflicht-Prüfung 

    bei jedem Deployment forciert.

    View Slide

  43. Unsere Erfahrungen

    View Slide

  44. Macht
    Individualisierungen

    View Slide

  45. https://github.com/move-elevator/symfony-coding-standard
    symfony-coding-standard

    View Slide

  46. View Slide

  47. https://github.com/mi-schi/phpmd-symfony2
    phpmd-symfony2

    View Slide

  48. View Slide

  49. Macht Ausnahmen

    View Slide

  50. $ rm -f phpmd phpcs

    View Slide

  51. /**
    * This will suppress all the PMD warnings in
    * this class.
    *
    * @SuppressWarnings(PHPMD)
    */

    View Slide

  52. /**
    * This will suppress UnusedLocalVariable
    * warnings in this method
    *
    * @SuppressWarnings(PHPMD.UnusedLocalVariable)
    */

    View Slide

  53. Vermeidet
    Komplexität

    View Slide

  54. Cyclomatic Complexity (CCN): Anzahl der Verzweigungen.
    NPath Complexity: Anzahl der Ausführungspfade.
    Kurz und knapp: Zählt pro Methode die 

    „Entscheidungs-Verzweigungen“ (Decision-Trees)
    • function
    • for(each)
    • while
    • if
    • case

    View Slide

  55. Wertet die Daten
    regelmäßig aus

    View Slide

  56. Ausblick

    View Slide

  57. https://github.com/sensiolabs-de/deptrac
    Deptrac

    View Slide

  58. Deptrac
    Prüfung von definierten Regeln: Überprüfung von 

    Objekt-Abhängigkeiten über verschiedene Bereiche. (Layern)
    Worum geht es?
    Visualisierbar: Eine Bildgenerierung der Verbindungen 

    via graphviz ist möglich.
    Frei definier- und erweiterbar: Freie Definition von Bereichen sowie

    deren Verbindungen möglich.

    View Slide

  59. Deptrac

    View Slide

  60. Paradies

    View Slide

  61. Vielen Dank für eure

    Aufmerksamkeit!

    View Slide

  62. Bitte bewerten

    https://joind.in/talk/e5d44

    View Slide

  63. Fragen?
    Ja
    Nein
    Vielleicht

    View Slide

  64. Quellen
    Bilder / Fotos
    Erläuterungen / Informationen / Statistiken
    https://en.wikipedia.org/wiki/Software_bug

    https://phpmd.org/documentation/suppress-warnings.html


    View Slide