程式码分析工具AdLint公开
| 2012-03-06 11:05
企业要全面采用开源技术,其中必须经过的难关,便是要说服管理层有关安全性的问题。有人认为全面开放程式码的产品没有闭源产品般安全,原因是经过太多开发人员的修正,当中可能影响程式码的质素甚至会造成漏洞,这次介绍的AdLint便是有效的解决方案。
开源产品因为程式码对外公开,已经经过无数次的审查,安全性比较高是必然的。问题是采用开源技术的企业,却不一定有能力亲自去对程式码再检查一次,这时AdLint便能够帮忙。AdLint免费的程式码静态分析工具,本身亦是开源的程式,它可以对程式码进行品质测定,目前可分析根据ANSI C89、ISO C90及部分ISO C99规格编写的C语言程式码,并输出警告讯息,其1.0正式版本已于2012年2月29日公开。
以往要发现软体产品的潜在问题,必须由开发者亲自检视程式码,AdLint可将此等功能自动化,从不同视点进行调査、总结出所谓的软体品质测量(Software Quality Metrics)。软体品质测量是计算软体质量的一套量度标准,例如要测量软体的是否可靠,便可以利用平均故障间隔(MTBF)表示软体的正常运作时间和发生问题时间的比例。开发者可利用AdLint在一定时间内建立的数据,从而观测软体品质测量数值的变化。
AdLint由日本Ogis总研的开发者开发,并可配合同公司另一套开源程式码品质评估工具Adqua使用,将程式码品质评估过程可视化。AdLint拥有与程码编译工具式相同的工作界面,可以与Eclipse等跨平台工具一起使用,直接跳至程式码中有问题的部分。AdLint现时可输出多达597种警告讯息,可测定多达15种软体品质测量,并可在 Windows XP、Windows 7及各种Linux版本上运作,条件是必须安装Ruby 1.9.3-p0或以后的版本、及GNU Make 3以后的编译环境。AdLint采用GNU GPL version 3授权,可在Sourceforge网站下载。