Статический анализ
Процесс анализа исходного кода без его выполнения для обнаружения потенциальных багов, уязвимостей безопасности и проблем качества кода.
Определение
Статический анализ исследует структуру кода, потоки данных и паттерны для обнаружения проблем до выполнения. В отличие от динамического анализа (который запускает код), статический анализ может проверить все пути кода, включая обработку ошибок, которая редко выполняется. Инструменты варьируются от простых линтеров (ESLint, Pylint) до продвинутых сканеров безопасности (Semgrep, SonarQube) и AI-ревьюеров (diffray).
Почему это важно
Статический анализ обнаруживает баги в 10-100 раз дешевле, чем их поиск в продакшне. Он особенно эффективен для уязвимостей безопасности — может обнаружить паттерны SQL-инъекций до запуска кода. По данным NIST, исправление бага в продакшне стоит в 30 раз дороже, чем исправление на этапе разработки.
Пример
Статический анализатор сканирует код и обнаруживает, что переменная может быть null при доступе, отмечая потенциальный NullPointerException ещё до запуска кода.