Haz que tu pipeline de CI/CD sea más inteligente con análisis estático

El Análisis Estático es el análisis del código que se realiza sobre el código fuente sin ejecutar ese código fuente, a diferencia del Análisis Dinámico que se realiza durante la ejecución del programa.

Los niveles de Análisis Estático mencionados incluyen el nivel de sintaxis, análisis semántico, análisis de flujo de control y análisis cruzado de procedimientos.

El análisis de sintaxis en el Análisis Estático involucra observar el código fuente y construir un Árbol de Sintaxis Abstracta para aplicar reglas que verifiquen ciertos patrones en el código.

Tibor menciona SonarQube y Sonar Cloud como plataformas para realizar el análisis estático de proyectos.

Para analizar un proyecto en Sonar Cloud, es necesario iniciar sesión con una cuenta (como GitHub, BitBucket, GitLab o Azure DevOps), seleccionar el proyecto y configurar el análisis.

El análisis semántico involucra comprender no solo la sintaxis sino también el significado del código, identificando cómo las variables y otros elementos se relacionan y se utilizan en el código.

El Análisis Estático puede integrarse en la tubería de integración continua para detectar errores, mejorar la calidad del código y asegurar que no se introduzcan vulnerabilidades antes de que el código se fusione en la rama principal.

SonarCloud ofrece una plataforma gestionada que es gratuita para proyectos de código abierto, integra fácilmente con sistemas de CI/CD como GitHub Actions, y proporciona actualizaciones continuas de sus analizadores y reglas.

Un Árbol de Sintaxis Abstracta (AST) es una representación de la estructura sintáctica del código fuente, utilizado en el Análisis Estático para aplicar reglas y detectar patrones específicos en el código.