静态分析工具在实际应用中可能会设计(涉及)的点:
是否能够扫出"用户认可“的问题(代码风格类,语法类,语义类,空指针,资源泄漏,安全类,性能类,可定制的最佳实践等)
低误报(解释:尽量推送认可的问题,不排除个别误报)
报错易理解(解释:提供问题描述(包含危害/错误/正确写法等),提供traceback(完整错误路径,用户更快地"臣服"问题,提供沟通渠道))
简单易上手(约定大于配置,开箱即用,IDE插件,集成DevOps工具链,与PR集成,云端服务)
可定制(内建规则集可定制,规则易扩展,精度|效率可调节,支持增量扫描,UI体验可定制)
识别流程人性化(SCM责任人归属,问题自动通知-与缺陷管理集成等,支持责任人reassign,快速标记误报,可查看同类问题,可发起讨论,可在线修改)
可查看增量问题(重点保证新增代码)
提供报表功能(面向不同角色可快速决策产品质量)
支持与第三方平台快速集成(比如与Jenkins/IDE/BitBucket/GitLab/VSTS等)
可靠性其一,完备性其二
可以带来产品信心的提升(产品交付信心,开发者信心,质量的满足感)
提升产品创造者的质量意识(质量检查方法的多样性和可能性)
工具具备自启发能力(自动学习误报历史,与动态检查结合,自动修复等)
愿景等(可变相提升开发者程序分析意识?价值转化成商业模式?怎样带来合作与共赢?)
逐步具备自主的核心竞争力:一站式平台服务,自主的程序分析引擎等
维度划分不够脆,待嚼嚼:-3
PS: 如果你有应用过静态分析工具,或者尝试开发过静态分析工具欢迎交流,本人对业内开源|商业静态分析工具的应用有一定了解。
