static program analysis

static program analysis (tsz. static program analysises)

1. (informatika) A statikus programanalízis (angolul: static program analysis) egy olyan módszer, amely során a program forráskódját vagy binárisát elemzik anélkül, hogy futtatnák azt. A cél az, hogy hibákat, biztonsági réseket, optimalizálási lehetőségeket vagy kódstílus-problémákat tárjanak fel automatikusan.

Definíció: Statikus analízis során a szoftverkódot egy elemző eszköz értelmezi, és megpróbál következtetéseket levonni a kód működéséről – még a program futása előtt.

Ez ellentéte a dinamikus elemzésnek, amely a program tényleges futása közben vizsgálja a viselkedést (pl. profilozás, unit tesztek, futásidejű biztonsági monitorozás).

• 📛 Hibák keresése (null pointer, buffer overflow, nem inicializált változó)
• 🔐 Biztonsági rések detektálása (pl. taint analysis, SQL injection mintázatok)
• 🧹 Kódminőség ellenőrzése (használatlan változók, felesleges kód)
• 🔄 Refaktorálási javaslatok
• 📏 Stílus- és szabálykövetés (kód konvenciók)
• 🧠 Formal verification – matematikai modellezés és bizonyítás

• Ellenőrzi, hogy a kód megfelel-e a nyelvtani szabályoknak
• Pl. szintaxisfa (AST – Abstract Syntax Tree) létrehozása

• Ellenőrzi a típushelyességet, változók deklarációját, elérhetőségét
• Használja a szimbólumtáblát

• Feltérképezi, hogyan áramlik az adat a programon keresztül
• Pl. használat előtti inicializálás, változók hatóköre

• Feltérképezi, milyen utakon haladhat a program végrehajtás közben

• Különösen biztonsági elemzésekhez: követi a „szennyezett” (user input) adat útját
• Cél: ne jusson veszélyes módon pl. adatbázis-lekérdezésbe

clang-tidy main.cpp -- -Iinclude/ -std=c++17

Ez a parancs statikus vizsgálatot hajt végre a main.cpp fájlon, és jelzi például:

• Használatlan változók
• Elavult konstrukciók
• Hibás ciklusfeltételek

• SQL injection – adatbázis lekérdezésbe kerülő bemeneti adat
• Path traversal – felhasználói bemenet alapján nyitott fájlok
• Buffer overflow – túlcsorduló tömb

Statikus elemző ezeket jelezi a kódban anélkül, hogy végrehajtaná azt.

Sok fejlett statikus analízis eszköz a „abstract interpretation” elvén alapul:

• A program összes lehetséges futási állapotát nem tudjuk végigvizsgálni
• Ezért abstrakt állapotokat modellezünk (pl. „egy egész szám lehet 0, pozitív vagy negatív”)
• Így „szimuláljuk” a program futását, de nagyon leegyszerűsített formában

Statikus elemzés gyakran fut a CI-pipeline-ban:

• 🟡 Pre-commit hook (pre-commit, Git hook)
• 🟢 Pull request ellenőrzés (GitHub Actions, GitLab CI)
• 🔴 Build fail, ha súlyos hiba van

A statikus programanalízis egy elengedhetetlen eszköz a modern szoftverfejlesztésben. Lehetővé teszi a hibák korai észlelését, kódminőség javítását, és a biztonságosabb szoftverek fejlesztését – még azelőtt, hogy a program elindulna. Automatizálható, CI-be integrálható, és jól kiegészíti az egységtesztelést és a kódreview-t.

• static program analysis - Szótár.net (en-hu)
• static program analysis - Sztaki (en-hu)
• static program analysis - Merriam–Webster
• static program analysis - Cambridge
• static program analysis - WordNet
• static program analysis - Яндекс (en-ru)
• static program analysis - Google (en-hu)
• static program analysis - Wikidata
• static program analysis - Wikipédia (angol)