Vergleich von Fagan-Inspektionen und werkzeuggestützter statischer Codeanalyse

Inhaltsverzeichnis

1. Einleitung

2. Grundlagen

2.1. Qualitätsmanagement

2.2. Fehler

2.2.1. Definition Fehlerbegriff

2.2.2. Fehlerklassifikation nach Schwere

2.2.3. Fehlerklassifikation nach Typ

2.3. Metriken

2.4. Programmierstandards

3. Grundlagen der statischen Analyse

3.1. Automatisierte statische Analyse

3.1.1. Token- und Bug-Pattern-Analyse

3.1.2. Programm-, Kontroll- und Datenflussanalyse

3.1.3. Abstrakte Interpretation

3.2. Fagan-Inspektionen

3.2.1. Inspektionsanfrage

3.2.2. Planung

3.2.3. Kickoff-Meeting

3.2.4. Individuelle Prüfung

3.2.5. Logging-Meeting

3.2.6. Edit

3.2.7. Follow up

3.2.8. Exit

4. Studienbeschreibung

4.1. Forschungsfragen

4.2. Studiendesign und -implementierung

4.2.1. Das Unternehmen TomTec

4.2.2. Arbeitsumgebung

4.2.3. Akquise der Analysewerkzeuge

4.2.4. Studienimplementierung

4.3. Studienobjekte

4.3.1. Statische Analysewerkzeuge für C++

4.3.2. Das Softwareprodukt „Quonos“

5. Fallstudie

5.1. Vorbereitungen

5.2. Studie 1: Analyse des Gesamtprojektes

5.2.1. Vorbemerkung

5.2.2. Ergebnisse

5.3. Studie 2: Fagan-Inspektion

5.3.1. Bericht der Inspektion

5.3.2. Ergebnisse

5.4. Studie 3: Vergleich der Ergebnisse im Detail

5.4.1. Vorbemerkung

5.4.2. Ergebnisse

5.5. Validitätsrisiken

5.5.1. Designfehler

5.5.2. Interne Fehler

5.5.3. Externe Fehler

6. Integration von automatischer Codeanalyse in Fagan-Inspektionen

6.1. Integrationsvorschläge

6.2. Bewertung der Vorschläge

7. Zusammenfassung und Ausblick

8. Anhang

8.1. Weitere Werkzeuge

8.2. Checklisten der Inspektion

8.3. Meinungen von Entwicklern

8.3.1. Von den Inspektoren

8.3.2. TomTec Developer Days

9. Literatur

Zielsetzung & Themen

Die Arbeit untersucht das Potenzial und die Effizienz von zwei zentralen Methoden der Software-Qualitätssicherung: der automatisierten, werkzeuggestützten statischen Codeanalyse und der formalen Fagan-Inspektion. Ziel ist es, deren Leistungsfähigkeit bei der Fehlersuche im realen industriellen Kontext (anhand der Software Quonos der Firma TomTec) zu bewerten, ihre Ergebnisse empirisch zu vergleichen und zu prüfen, wie sich diese Methoden sinnvoll in bestehende Entwicklungsprozesse integrieren lassen.

• Vergleich automatisierter statischer Analysewerkzeuge mit Fagan-Inspektionen
• Empirische Analyse der Fehlererkennungsrate und Fehlertypen
• Bewertung der Korrelation zwischen Codemetriken und tatsächlichen Softwarefehlern
• Untersuchung der Synergieeffekte bei Kombination beider Verfahren
• Integration von Werkzeugunterstützung in den formalen Fagan-Inspektionsprozess

Auszug aus dem Buch

Zusammenfassung der Kapitel

1. Einleitung: Motivation durch prominente Beispiele von Softwarefehlern und Einführung in die Bedeutung der statischen Codeanalyse sowie der Fagan-Inspektion als Qualitätssicherungsmaßnahmen.

2. Grundlagen: Definition von Qualitätsmanagement, Fehlerbegriffen nach IEEE/DIN sowie Einführung in Metriken und Programmierstandards für C++.

3. Grundlagen der statischen Analyse: Erläuterung technischer Verfahren wie Token-Analyse, Kontroll- und Datenflussanalyse sowie die detaillierte Beschreibung des Fagan-Inspektionsprozesses.

4. Studienbeschreibung: Definition der Forschungsfragen und Vorstellung des Studiendesigns, der eingesetzten Werkzeuge (Klocwork, Polyspace, PreFast, Coverity, Fortify) und des Testobjekts Quonos.

5. Fallstudie: Empirische Auswertung der Analysewerkzeuge und der durchgeführten Fagan-Inspektion inklusive Vergleich der Ergebnisse und Validitätsrisiken.

6. Integration von automatischer Codeanalyse in Fagan-Inspektionen: Entwicklung und Bewertung von Vorschlägen zur Verzahnung beider Methoden, insbesondere der Nutzung der Analyse als Eingangskriterium.

7. Zusammenfassung und Ausblick: Fazit der Untersuchung, dass keine Methode allein ausreicht, und Empfehlung zur komplementären Nutzung von Werkzeugen und Inspektionen.

8. Anhang: Auflistung weiterer Werkzeuge, verwendete Inspektions-Checklisten und Zusammenfassung der Meinungen beteiligter Entwickler.

9. Literatur: Verzeichnis der zitierten wissenschaftlichen Quellen.

Schlüsselwörter

Statische Codeanalyse, Fagan-Inspektion, Software-Qualitätssicherung, Fehlererkennung, C++, Bug-Pattern, Datenflussanalyse, Software-Metriken, Fehlerklassifikation, Industrieprojekt, Qualitätssicherung, Code-Reviews, Fehlerprävention, Software-Wartbarkeit, Testautomatisierung.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Diplomarbeit befasst sich mit einem direkten Vergleich von zwei unterschiedlichen Strategien der Qualitätssicherung in der Softwareentwicklung: der automatisierten, werkzeuggestützten statischen Codeanalyse und der manuellen, formalen Fagan-Inspektion.

Was sind die zentralen Themenfelder?

Die zentralen Themen sind die theoretischen Grundlagen der statischen Analyse, die Methodik formaler Software-Inspektionen sowie die empirische Untersuchung dieser Verfahren an einem realen Softwareprojekt der Firma TomTec Imaging Systems.

Was ist das primäre Ziel oder die Forschungsfrage?

Das Ziel ist es, die Effektivität und Effizienz beider Ansätze zu bewerten, herauszufinden, welche Art von Fehlern sie jeweils aufspüren, und zu klären, ob und wie diese komplementären Methoden kombiniert werden können.

Welche wissenschaftliche Methode wird verwendet?

Es wird eine empirische Fallstudie durchgeführt, bei der ein Software-Objekt („Quonos“) sowohl automatisiert durch fünf verschiedene Werkzeuge analysiert als auch manuell durch ein Team von erfahrenen Entwicklern mittels Fagan-Inspektion geprüft wird. Die Ergebnisse werden quantitativ verglichen und statistisch ausgewertet.

Was wird im Hauptteil behandelt?

Im Hauptteil werden zunächst die theoretischen Hintergründe erläutert, dann das Studiendesign inklusive der beteiligten Werkzeuge detailliert beschrieben, die Durchführung der Fallstudien dargelegt und schließlich Integrationsmöglichkeiten der beiden Ansätze erarbeitet und bewertet.

Welche Schlüsselwörter charakterisieren die Arbeit?

Wichtige Begriffe sind Statische Codeanalyse, Fagan-Inspektion, Software-Qualitätssicherung, Fehlerklassifikation, C++, Fehlerprävention und Code-Reviews.

Wie schneiden die automatisierten Werkzeuge im Vergleich zur manuellen Inspektion ab?

Die Inspektion ist in Bezug auf die Entdeckung logischer Fehler und Diskrepanzen zur Spezifikation qualitativ und quantitativ überlegen, allerdings ist sie auch deutlich zeitaufwändiger und kostenintensiver als die automatisierte Analyse.

Was ist das Hauptergebnis zur Integration der Methoden?

Die Arbeit empfiehlt, automatisierte Werkzeuge vor der Fagan-Inspektion einzusetzen, um diese als obligatorisches Eingangskriterium zu nutzen; dies steigert die Effizienz des Inspektionsteams, da diese sich dann auf komplexere Fehler konzentrieren können.

Was sind die wichtigsten Erkenntnisse zur Fehlerklasse „Sonstige“?

Fehler in der Klasse „Sonstige“ (z. B. fehlende Prüfungen oder logische Diskrepanzen) werden von automatisierten Werkzeugen oft gar nicht oder nur schwer erkannt, während die manuelle Inspektion hier ihre Stärken ausspielen konnte.

Warum ist die „zyklomatische Komplexität“ in dieser Studie relevant?

Sie dient als Korrelationswert für die Fehlerrate; es zeigt sich, dass Menschen in komplexen Code-Abschnitten zu mehr Fehlern neigen, wobei auch diese Bereiche für automatisierte Werkzeuge aufgrund von Pfadlimitierungen eine besondere Herausforderung darstellen.