SwiftおよびObjective-Cの静的アナライザー

まえがき

C / C ++ / C＃、Javaなどの静的アナライザーに関する記事が多数あります。 MacOS / iOSでのネイティブ開発のためのさまざまな静的アナライザーの使用に関する研究については、あまり注目されていません。



ObjCおよびSwiftのさまざまなプロジェクトで使用される静的コードアナライザーの使用の分析が提案されています。 同時に、これはレビューではなく、メモリリークから脆弱性まで、コード内の何らかのエラーを見つけるためのさまざまなツールの使用に関する注意事項です。 ただし、データは、客観性と結論の完全性、および各機器で得られた結果の分析の深​​さを装っていません。

エントリー

数年前、まだiOSの初心者開発者でしたが、iOSアプリケーション用にObjCで記述されたコードの品質を検証する問題に遭遇しました。 残念ながら、エラーを見つけて、そのようなものがないために、より資格のある同僚とコードについて議論することは常に可能ではありませんでした。 最初の否定的なレビューは建設的に認識されていましたが、それでも契約を締結する前に開発者コードの例を評価したい顧客を失いました。 この結果、顧客にそれを実証する前に最大のコード欠陥を識別するツールを使用する必要がありました。 開発中の製品の潜在的な問題を特定するためにすべてのコミットを行った後、 継続的インテグレーションでコードの品質に関するレポートを作成することが常に重要であったことに注意してください。



ソロから分散プロジェクトまで、さまざまな大陸にチームを配置して、さまざまなチームで仕事をしなければなりませんでした。 同僚のスキルレベルは、入門レベルから建築家にまで及びました。 チームの構成も同様に絶えず変化しました。これは、Swiftの新しいバージョンが毎年登場し、ObjectiveC が止まったという事実にもかかわらずです。



これらのすべての要因により、エラーの最大数を特定し、コードの一貫性と読みやすさを高めるツールの検索が促進されました。

Clang静的アナライザー

これは、Xcodeユーザーが遭遇する最初の組み込みアナライザーです。 アプリケーションを起動するたびにコードを分析するには、 ここで説明する設定を行う必要があります。 これらの推奨事項は、各コミットの前にコードを検証する最初のステップとして、すべてのユーザーが使用する必要があります。



Swiftのサポートがないため、Swiftの範囲は大幅に制限されます。 もちろん、XcodeにはSwiftをサポートするアドレスアナライザーとスレッドサニタイザーがありますが、これらのツールは静的アナライザーではなく、アプリケーションの起動時、つまり実行時にのみ使用できます。

潜在的なメモリリークとコード構造のエラーのプロアクティブ検索に適しています。

フェイパス

Faux Pas（ 間違ったステップ-Fr. ）は、GUIとCLIの両方を備えた最初のサードパーティ製静的アナライザーです。 使用開始後、コードの品質は著しく高くなりました。 ObjCプロジェクトの20％から50％の隠れたバグを特定するのに役立ちました。 最も興味深いのは、最初の起動時にツールが顧客が指摘したエラーを正確に明らかにしたことです。 これが、実際、開発者の個人的な費用でこのツールを購入し、会社全体がサービスを開始するまで待たないことが決定された主な理由でした。



残念ながら、すべての同僚がこのツールを積極的に受け入れたわけではありません-アナライザーは無料であると信じている人もいれば、理解したくない多くの設定について不満を言う人もいます。



主な欠点は、Swiftのサポートがないことですが、開発者はまだサポートを約束していますが、まだ日付を発表していません。



それほど重要ではない問題は、 ワークスペースが直接サポートされていないことです。コマンドライン（ワークスペースチェックの構成）を使用してチェックするか、各プロジェクトを個別にチェックする必要があります。



ただし、Faux PasはApple Coding Guidelinesと矛盾する問題領域を見つけました。 たとえば、initおよびdeallocでself.propetyを使用すると、 Modern ObjC構文 、NSNotificationCenterオブザーバーデタッチメントの欠落などの使用を思い出させます。 CIに簡単に統合できます。



Jsonまたはplistで生成されたレポートをより読みやすいものに変換することをお勧めします。 レポートには問題の詳細な説明が含まれ、ルールへの外部リンクも提供します。 時には、公式ドキュメントへのリンクではなく、stackoverflowへのリンクが存在するという事実にもかかわらず、これは大きな欠点ではありません。



ツールの結果の例を以下に示します。 Xcodeでアナライザーを実行して、問題の対象を検出するには、CLIを使用できます。







JSONで提示されたレポートを分析するために、FauxPas GUIに似たプレゼンテーションの各問題を選択したレポートをExcelで生成する小さなアプリケーションが作成されました。



アナライザーの構成に関して、ツールは次のように構成されます。

GUI、CLI引数、および構成ファイル。 独自のルールを作成する方法は見つかりませんでした。

オクリント

このアナライザーは、ObjCで作成された外国企業の小規模だが長命のプロジェクトで初めて会った。 この会社の開発者は非常に保守的で、この言語のすべての新しいバージョンへの移行が複雑であるため、Swiftに切り替えたくありませんでした。



OCLintではScaffoldingを使用してルールを変更および追加できますが、これには時間がかかります。 この会社の開発プロセスによると、すべてのアナライザーの警告が修正されるまで、コードはリポジトリにコミットしません。 一部の検証ルールは、常に正しく処理されませんでした。 アナライザーの警告をすべて排除するために、回避策（クランチ）を使用する必要があり、チームは最終的にこのアナライザーのサポートを放棄しました。



それでも、アナライザーでは次のことを識別できます。

• 式のないif / else / try / catch / finallyステートメントを空にし、
• 未使用のローカル変数とパラメーター
• 高い循環的困難を報告
• ifステートメントと未使用の括弧を使用して冗長コードに反応します
• 可逆ロジックと変数の再割り当てを検出

小さなプロジェクトの分析時間は非常に長く（Clangアナライザーに比べて）、このツールを以前にプロジェクトで使用したことがない場合、膨大な数の警告が生成される可能性があり、初期分析が複雑になります。 したがって、コードベース全体をチェックして大量の警告を受け取る必要がない場合は、コミット前に変更されたファイルのみをチェックする小さなスクリプトを作成できます。これは、アナライザーに関連します。



ビルドスクリプトによりXcodeに標準的に統合 します 。



このツールは非常に柔軟ですが、それにもかかわらず、このツールは長い間存在していたため、コードのより高度なヒューリスティック分析が必要です。 現在、このアナライザーのXcodeプラグインが必要であり、その使用が大幅に簡素化されます。

コードビート

Codebeatクラウドアナライザーは、ObjCとSwiftの両方をサポートしています。これは、特定のプロジェクトで使用するためにこの製品が選択されたときに重要でした。 欠点の1つは、プルリクエストの前にコミットがGitHubに到達した後にのみチェックが実行されることでした。これにより、このケースでは開発プロセスがわずかに非構造化されました。 この執筆の時点で、開発者は、このプロセスへの開発者の参加を完全に最小限に抑えるために、自動レビューコードユーティリティをリリースすることを約束しました。 これは、人間によるレビューがあるプロジェクトの開発チームでの不規則または不注意なコードチェックのため、緊急のタスクです。



Swift + Obj-C、Python、Rubyをサポートしており、モバイル開発に非常に便利です。



ObjCコードの分析は十分に機能しません。 これは、同社が主にSwiftコードの分析に重点を置いているという事実によるものであり、ObjCとの連携が最近追加されており、さらなる改善が必要です。



製品サポートに関しては、一番上にあります。 日中は常にサポートに連絡する機会があり、週末でも必要な支援が提供されました。



メトリックの構成に関しては、独自のjsonファイルを作成し、検証ルールを変更することでこれを実行できます。 ただし、新しい検証ルールを作成したり、既存の検証ルールを変更したりする機能はありません。 しかし、開発者が私に保証したように、そのような機会は将来計画されています。



このツールは、オープンソースプロジェクトでは無料で、プライベートリポジトリでは価格はそれほど高くありません。さらに、トライアル期間は3か月間続き、非常に民主的であると見なすことができます。

推測する

独自のコードアナライザーを開いた facebook製品は、iOSでのプロジェクトの分析だけでなく、Android / Java開発にも適しています。



テストプロジェクトのコマンドラインでこのアナライザーをすぐに実行することはできませんでしたが、Githubでリクエストを作成した後、その構成のいくつかの微妙さに専念しました。 「ビルドスクリプトの実行」を使用して、Xcodeに統合することさえできました。



アナライザーを実行するために、追加のスキームが作成されました-CLIを使用して他のアナライザーと同様に、Xcodeで推論します。 特定のケースでは、その使用による大きな利点は確認されていません。 おそらく、このツールを他の大規模なクロスプラットフォームの複雑なプロジェクトで使用するのが理にかなっています。

スウィフトリント

Swift開発者の間で非常に人気のあるアナライザーで、Xcodeのプラグインプラグインがあり、非常に便利です。



GitHubのSwift Style Guideが基本的なルールです。 正規表現ベースのカスタム検証ルールを作成することが可能です。 特に、新しい機能がツールクラスの拡張に追加された場合、リファクタリングに関するルールを作成すると非常に便利です。たとえば、NSLocalizedString（）関数はクラスのNSString（またはString）拡張のフィールドになります。



特定のケースでは、チームはリファクタリングされていない分散ブランチに取り組みました。 「自動修正」オプションを使用すると、コードを単一のブランチにマージするときに、コードを簡単に単一のスタイルにすることができます。



SwiftLintは、ObjCコードとSwiftコードの両方を含む大規模なハイブリッドプロジェクトで使用されました。 残念ながら、プロジェクトにそれを導入するというアイデアの著者は、「autocorrect」オプションを使用した場合の変遷に関する記事を読んでおらず、Xcodeの「Run Script」にチェックを挿入しました。 もちろん、共通の同期ポイントを持たないチームを持つ大規模なプロジェクトでは、全員がこのツールをすぐにインストールしたわけではありません。 同時に、Swift 3.0への移行があり、間違いなく新しいコミットに混乱を加えました。



バージョン0.16.0以降、誤検知のルールがいくつかありました。たとえば、 large_tupleプロジェクトではビルドスクリプトによるコンパイルが停止していました。 さらに、すべてのルールが正しく処理されるわけではありません。これは多くのアナライザーでよく見られることであり、コードの品質に影響を与える回避策を使用せざるを得ません。 この問題により、各プロジェクトの「ビルドフェーズスクリプト」にSwiftLintを導入することについて、より慎重になりました。



このツールはJenkinsにも統合されており、プロジェクトコードベースの制御が明らかに改善されました。

仕立て

Tailorは、Swift用のクロスプラットフォームの静的アナライザーです。 非常に珍しいのは、Windowsプラットフォームがサポートされているという事実です。



パイロットプロジェクトでSwiftLintの代替として使用されます。 ただし、この期間は、Swift 2のみをサポートします。Swift2は、現代の要件を少し満たしていません。 ただし、Swift 3.0.1をサポートするエンチャントの問題があります。 The Swift Programming Language、GitHub、Ray Wenderlich、およびCourseraのコードスタイルルールをサポートします。



ポッドとワークスペースをサポートするには 、次の推奨事項をお勧めします。



独自のルールを作成する機能は見つかりませんでしたが、存在する可能性がありますが、これを注意深く理解する必要があります。



「ビルドスクリプト」を介してXcodeに統合します。 trailing-whitespaceなどの警告を抑制するには、最初に使用するときにすぐに不便になります。

キーが推奨されます：

tailor --except=brace-style,trailing-whitespace
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

必要に応じて、レポートをHTML、JSON、またはXcode形式で出力できます。これは、Webサーバーで結果を公開するときにCIで使用するのに十分便利です。

Swiftスタイルでの書式設定

アナライザーについて言えば、特定のスタイルガイドのコードの「フォーマッター」に言及するしかありません。

静的コードアナライザーではなく、コードをSwift Styleにフォーマットしますが、それでも、プログラマーがコードをよりよく理解できるようにコードを単一のスタイルにすることにより、エラーを検出するという同じ目的を果たします。コードのセクション。

スイフトフォーマット

特定のチームのコードスタイルを満たす独自のルールを作成できるという点で便利です。 設定はCLIを介して行われますが、すべての人にとって魅力的ではありません。 ただし、Xcodeのプラグインとしてインストールできます。

スウィマット

このツールは、CLIとXcode拡張の両方で使用できます。 これは確かに優れたツールですが、Xcodeを使用するとクラッシュする重大なバグがいくつか含まれています。 ただし、開発者はすぐにそれらを削除します。 独自の検証ルールを追加する機能があります。



特定のケースでは、小さなプロジェクトのコードをフォーマットするために使用され、利便性と結果の点で最高であることが証明されました。



どちらのフォーマッタもXcodeの拡張機能として使いやすく、現在サポートおよび改善されています。

チェックマルクス

実際には、製品の安全性を重視する顧客からのプロジェクトが時々あります。 このようなプロジェクトでは、Checkmarxの静的アプリケーションセキュリティテスト（SAST）ソースコード監査ソリューションを使用することをお勧めします。



このクラウドソリューション、つまりツールは、ローカル開発サーバーまたはCheckmarxサーバーに配置できます。 独自の特許技術を使用したかなり高度な分析装置。 以前に米国国防総省と緊密に連携していたCheckmarxは、あらゆる種類の脆弱性の研究に関して多くの興味深い進展を遂げています。 Swiftをサポートしていますが、特定のケースでは、ObjCプロジェクトが分析されました。 残念ながら、Xcodeの拡張プラグインはありません。



報告システムは非常に有益であり、見やすくなっています。 ページの1つは以下です。







有益なレポートには、プロジェクトに応じて10〜300ページを含めることができます。 レポートでは、問題の修正方法についても説明し、例を示しています。 分析されたすべてのプロジェクトの一般的な間違いは、「サードパーティキーボード対応」でした。これは、iOS用のサードパーティキーボードをインストールする際の脆弱性に関連していました（ただし、分析されたアプリケーションの1つにキーボード入力フィールドが含まれていませんでした）。

あとがき

Sonarのような、実際の静的コード分析のいくつかのツールについて知りたいと思っています。 ただし、製品のコストが高く、インストールが複雑であるため、このような機会はまだありません。 同時に、一部のプロジェクトでは、アプリケーションのセキュリティが心配なお客様のコードの脆弱性を探すためにSolar inCodeを試すことは興味深いです。 残念ながら、この製品はデモ版でも入手できませんでした。



上記のツールの多くは、コードのさまざまな脆弱性に対する製品の安定性と耐性を高めるのに役立ちました。 原則として、アナライザーは偏見のない裁判官であり、あなたのことを気にせず、彼に対する個人的な苦情もありません。



それにもかかわらず、理想的なツールが存在しないことは明らかであり、既存のすべてのコード分析ツールを使用しても万能薬ではありません。 アナライザーの要件を満たすために回避策を使用する必要がある場合、誤ったアラームのケースは言うまでもありません。 この点で、少なくとも、drugStateやcacheDataの代わりにdragStateなどのセマンティックエラーを検出するために、人間のレビューは常に関連性があります（auto-replace ...を構成できますが）。

便利なリンク

• OCLintを使用した静的分析
• 静的アナライザーのデバイスと動作原理
• 静的分析のガイド。
• 静的アナライザーを最大限に活用する
• あなたの言語を見てください！：SwiftLintでコードをきれいにする道
• スレッドサニタイザーと静的分析
• Xcodeを使用したデバッグについて
• SonarQubeプラットフォームを使用してコードの品質を管理します
• チーム開発における静的コード分析の定期的な使用