Статистический анализ кода

Кодирование static-analysis
Редактировать
Описание

Это процесс тестирования приложения на наличие ошибок и уязвимостей в исходном коде с применением инструментов для статического анализа (SonarQube, PVS-Studio и другие). Основная задача практики состоит в обнаружении ошибок и дефектов безопасности на этапе разработки приложения и их устранение до момента попадания на стенды.

Ценность
Преимущества:
  • Статический анализ кода позволяет относительно быстро определить качество кода и обнаружить наиболее часто встречаемые ошибки еще до проведения тестов.
  • За счет большой базы типовых ошибок накопленной разработчиками анализатора, статический анализ позволяет определить потенциальные проблемы в коде, который не покрыт тестами или в котором проверяются не все возможные варианты входных данных.
Последствия отсутствия:
  • Дефекты обнаруживаются на более поздних стадиях тестирования.
  • Из-за отсутствия метрик и целевых значений показателей, качество кода со временем может деградировать. Код станет более сложным и менее поддерживаемым.
Критерии оценки 13
SURVEY

Статический анализ интегрирован с пайплайном сборки

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Отчеты о статическом анализе доступны команде

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Quality Gates и целевые показатели качества настроены

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Описан эталонный workflow с Quality Gate / Security Gate

Варианты по умолчанию: Да / Нет / Частично
SURVEY

При не прохождении любого из Quality Gate код отправляется на доработку

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Подключен SAST, используются линтеры для Kubernetes-манифестов (например, kubeconform)

Варианты по умолчанию: Да / Нет / Частично
SURVEY

Результаты статического анализа регулярно анализируются, используются для улучшения показателей и поддерживаются планом дальнейших улучшений

Варианты по умолчанию: Да / Нет / Частично
CHECK

Статический анализ интегрирован с пайплайнам сборки

CHECK

Отчеты о статическом анализе доступны команде

CHECK

Настроены Quality Gates, целевые показатели качества, при их несоблюдении код отправляется на доработку.

CHECK

Подключен SAST. Используются линтеры для k8s манифестов (например, kubeconform)

CHECK

Описанный эталонный workflow с Quality Gate / Security Gate

CHECK -1

Статический анализ используется для галочки, отчеты никто не смотрит, показатели не улучшаются, плана по улучшению — нет

Ресурсы 1
  • Источники
Действия
Редактировать практику Новая практика в этом домене
Метаданные
ID:
ac73d8d4-15df-4368-beca-4455416ce849
Slug:
static-analysis
Версия:
2.0
Проекты:
ФармаИмпекс Client1/Project1
Критерии:
7 survey 6 check
Создано:
2026-04-30
Обновлено:
2026-04-30