静的コード解析は、ソースコードに実施される一連の自動化チェックで構成されています。
静的解析ツールは、メモリリークやバッファーオーバーフローといった一般的に知られているエラーや脆弱性がないか、コードをスキャンします。 解析ではコーディング標準の強化も行うことができます。
セキュリティが優先事項である場合は、専門の静的アプリケーションセキュリティテスト(SAST)ツールで既知のセキュリティ問題をチェックすることができます。 静的解析はソースコードに対して実施されるため、プログラムを実行せずに、CI/CD パイプラインの冒頭か、変更をコミットする前に IDE から直接実行することができます。
あらゆる形態の自動化テストと同様に、静的コード解析はチェックを一貫して実施し、最新の変更に関するフィードバックを迅速に提供することを保証しています。 IDE に統合された静的解析ツールであれば、対象を絞ったフィードバックを即座に提供できるため、作業の過程で問題を解決していくことが可能です。
ただし、静的解析で特定できるのは、プログラミングされたルールが破損しているインスタンスのみで、ソースを読み取るだけですべての問題を見つけ出すことはできません。 また、誤検出のリスクもあるため、結果を解釈する必要があります。
その意味では、静的コード解析はコードレビューの貴重な補完ツールと言えます。既知の問題をハイライトし、短縮によって得られた時間をデザインやアプローチ全体のレビューといったより興味深いタスクに費やせるようになります。
静的コード解析は、コードの品質維持に使用できる一連の強力な自動化チェックの一部であるため、その他の形態の動的解析(コードを実行して既知の問題がないかチェックする解析)と自動化テストと組み合わせて使用することをお勧めします。