Open menu Close menu

< Back to news

GrammaTech : SARIF & SASP

ISIT
ISIT
GT_SARIF&SASP

Les outils d'analyse statique sont maintenant très largement utilisés dans l'industrie, les universités et pour les logiciels libres. Leur intégration et le partage de leurs résultats dans des outils de développement et de tests tiers devient donc de plus en plus nécessaire. SARIF & SASP sont à la fois un format de fichier existant pour l’échange de résultats (SARIF) et un plan pour le développement d’un protocole (SASP) permettant aux outils d’interagir de manière dynamique.  Ce sont ces nouveaux standards que Grammatech travaille pour l’inclure dans CodeSonar et qui permettront de traiter des cas d’usages représentés par la figure 1 tels que :
  • Un IDE tel que Eclipse ou VS Code Les utilisateurs aiment voir les résultats des analyses statiques superposés sur leurs vues du code.
  • Un outil de révision de code tel que Phabricator ou github
    Un outil d'analyse statique peut être configuré pour remplir la revue avec des commentaires sur le diff.
  • Un système de suivi des bugs tel que Jira ou Bugzilla
    Un utilisateur peut souhaiter demander si un défaut signalé a été détecté lors de la dernière analyse.
  • Un système d'intégration continue tel que Jenkins
    Les résultats de l'outil d'analyse statique peuvent être utilisés pour indiquer le statut de la construction. Par exemple, toute constatation «grave» en matière de sécurité pourrait faire en sorte que la construction soit considérée comme «en échec »
Bien que tous ces cas d'utilisation sont d’ores et déjà traités par des intégrations ad-hoc point à point entre ces outils, de telles intégrations sont fragiles. En effet les formats de fichiers d'outils natifs changent fréquemment, de même que les méthodes d'échange d'informations entre outils. SARIF et SASP amènent une solution bien meilleur et plus pérenne. A savoir plus…