Polyspace靜態(tài)程序代碼分析 高效遵循多重規(guī)范

當軟件質量目標明確規(guī)定了分析指針、編程指南，以及運行時錯誤的接受標準和閾值，車用軟件系統(tǒng)透過這些標準會自動進行評估，軟件變更時執(zhí)行，就成為軟件開發(fā)流程中完整的一部分。如何降低程序代碼質量評估的主觀性，并改善軟件開發(fā)周期的整體開發(fā)效率，就成為當中要點。
車用軟件系統(tǒng)在現(xiàn)今車輛的安全性、可靠性及效率扮演著愈來愈重要的角色。因此，工程團隊專注于提供先進駕駛輔助系統(tǒng)（advanced driver assistance systems；ADAS）、電池管理系統(tǒng)、穩(wěn)定控制及其他類似的創(chuàng)新功能。通常，他們也需要透過證明符合ISO 26262/SAE 21434的規(guī)定，以確保滿足功能安全與網絡安全的要求。
全球頂級車輛供貨商Ficosa International正在開發(fā)使用在各式車輛應用的軟件。作為確保產品符合產業(yè)標準的其中一部份流程，我們的工程團隊在從實現(xiàn)到單元驗證、整合及鑒定測試的完整開發(fā)周期，均使用Polyspace靜態(tài)程序代碼分析產品來衡量并改進程序代碼質量。許多使用的流程都是基于一套明確定義的軟件質量目標，由諸如所開發(fā)的組件的關鍵性和項目的成熟度等要素組織而成。
軟件質量目標明確規(guī)定了Polyspace靜態(tài)分析指針、MISRA和CERT/CWE等編程指南，以及運行時錯誤的接受標準和閾值。現(xiàn)在這些標準會自動地進行評估，并且在每一次軟件變更時執(zhí)行，成為軟件開發(fā)流程中完整的一部分。因此，我們盡可能降低程序代碼質量評估的主觀性，同時改善軟件開發(fā)周期的整體開發(fā)效率。

進行Polyspace使用評估
2010年，我們開始進行車輛通訊模塊項目。這項項目的其中一部分要求，客戶指定使用靜態(tài)分析來檢查是否符合MISRA C。經過對市面上的靜態(tài)分析產品進行完整評估之后，我們根據(jù)產品的表現(xiàn)和成本，選擇了Polyspace。同時間，我們也致力于逐漸符合Automotive SPICE能力等級2（level 2），并且開始搭配使用Polyspace Bug Finder和Polyspace Code Prover靜態(tài)分析來支持軟件單元驗證活動。
很快地，我們的工程團隊開始進入ADAS的其他領域，而我們的客戶開始要求符合ASPICE level 3。與此同時，我們還開始幾項需要符合ISO 26262以被視為滿足功能安全要求的項目。不久之后，還有一些客戶開始要求符合CERT C和通用缺陷列表（Common Weakness Enumeration；CWE）的檢查，以確保滿足安全的程序代碼編寫標準，在這個案例是需要尋求符合ISO 21434。
使用Polyspace軟件進行靜態(tài)分析幫助我們支持這其中每一項行動。然而，從企業(yè)組織的角度來看，缺少了開發(fā)及驗證活動的全面性計劃，計劃里面應該要清楚定義會在何時，以及采用哪些技術、衡量方式及閾值來確保軟件質量。
正式架構尚未就位的其中一個缺點，是研發(fā)團隊會傾向等到項目更后面的階段才執(zhí)行靜態(tài)分析，而不是從項目一開始就系統(tǒng)化地執(zhí)行?？梢粤舷?，這些在開發(fā)后期進行靜態(tài)分析結果出現(xiàn)了許多違規(guī)行為，其中包含許多違反MISRA C的違規(guī)行為。由于這些問題是在項目后期才被發(fā)現(xiàn)，很難透過問題解決或論證來彌補。
為了處理這類挑戰(zhàn)，我們透徹分析Ficosa International該如何優(yōu)化的符合軟件質量目標，以及我們的客戶跨越多種領域，在可靠性、功能安全和安全防護等方面的目標。這項分析的終端產品是一份軟件質量目標文件，這份文件現(xiàn)在被我們的團隊視為確保交付的軟件系統(tǒng)質量的基礎。

定義軟件質量目標
在Ficosa International的軟件質量目標文件中，我們定義了在驗證所開發(fā)的軟件時所有生效的指針和規(guī)則，包含以MISRA C、CERT C及CWE為基礎的指針和規(guī)則，還有諸如循環(huán)復雜度及批注密度等軟件指針。
下一步，我們依據(jù)待驗證的程序代碼的源頭、開發(fā)中的組件類型以及其成熟度來定義指針和規(guī)則的采用標準。舉例來說，為第三方程式碼、既有程序代碼（legacy code）、自動產生的程序代碼，以及人工編寫的程序代碼定義了不同的目標（圖1）。

 
圖1 : 依據(jù)軟件組件類型和項目成熟度而定義的Ficosa International軟件質量目標

對于第三方程式碼，僅執(zhí)行強制性的MISRA C規(guī)則，并且假定這類程序代碼附有其他相配的質量證明。對于既有程序代碼、自動產生的程序代碼和人工編寫的程序代碼，我們采用愈來愈嚴格的規(guī)則。涉及功能安全或安全防護的組件還會進行額外的檢查，以符合ISO 26262的汽車安全完整性等級（Automotive Safety Integrity Level；ASIL）要求和ISO/SAE 21434的網絡安全保證等級（cybersecurity assurance level；CAL）要求。
此外，隨著組件從早期開發(fā)（A sample）進展到中期、倒數(shù)第二個階段、最終交付（B、C、D samples），我們還會為項目定義更為嚴格的目標。最終，會有一個整合程序代碼的獨立、經過縮減的規(guī)則與指針子集—亦即一組組件之中的每一個組件均通過各自的軟件質量目標評估，而且現(xiàn)在被整合在一起，成為更大系統(tǒng)的一部分。這對于簡化復雜軟件的靜態(tài)分析非常有用。

將靜態(tài)分析整合至開發(fā)工作流程
當有了明確定義軟件質量目標的文件，我們便開始使用Polysapce靜態(tài)分析產品，將這些文件整合至開發(fā)及測試流程（圖2）。

 
圖2 : 對于程序代碼實現(xiàn)和驗證的流程，可看見靜態(tài)分析和后續(xù)修正的整合。

這套流程其中的一項關鍵步驟，在于納入針對開發(fā)人員向我們的版本控制系統(tǒng)Git發(fā)送收取要求時的規(guī)定。對于需要核準的收取要求，它除了要有單元測試結果之外，還必須成功通過Polyspace Bug Finder和Polyspace Code Prover的特定靜態(tài)分析檢查。單是這項改變就為我們整體工作流程帶來重大改善，因為它建立了一個閘門機制，確保開發(fā)人員只有在他們的程序代碼完整通過合適的軟件質量目標，并且解決或證明在靜態(tài)分析找到的任何問題時，才能夠成功完成收取要求。
在軟件整合及測試期間，Polyspace產品被使用來執(zhí)行以整合程序代碼的軟件質量目標為基礎的靜態(tài)分析。在此階段， MISRA C的相符及程序代碼指針的檢查僅限于系統(tǒng)層級規(guī)則和整合軟件指針。有個重點是整合層級的問題，像是共享內存的協(xié)作存取、無作用程序代碼、重大運行時錯誤等。
隨著采用Jenkins進行持續(xù)整合持續(xù)部署（continuous integration and continuous delivery，CI/CD）的情況愈來愈多，Polyspace產品支持頻繁的靜態(tài)分析及持續(xù)的反饋，確保開發(fā)人員及整合人員能夠維持源代碼與設定的質量目標的一致性。除此之外，透過Polyspace Access網絡接口，我們所有的團隊都可以存取一個中央數(shù)據(jù)庫，查看靜態(tài)程序代碼分析結果并且監(jiān)控交付質量目標等級的進展。
在開發(fā)功能安全產品的時候，有另一個重要的考慮點是要確保軟件工具不會造成、或者沒有發(fā)現(xiàn)在軟件量產階段的錯誤。ISO 26262明確要求軟件工具的認可流程，依據(jù)軟件的關鍵性進行分類，并且執(zhí)行必要的活動來審核。針對Polyspace產品，MathWorks提供支持Bug Finder和Code Prover在項目范疇的認證套件。

關鍵優(yōu)勢
透過Polyspace產品來運用良好定義的軟件質量目標，為Ficosa International須遵循ISO 26262與ISO/SAE 21434標準的車用軟件開發(fā)和交付，帶來幾項重要的優(yōu)勢。
優(yōu)勢之一是穩(wěn)定地提升開發(fā)人員之間的開發(fā)技能。進一步來說，他們從Polyspace產品接收到的快速響應，幫助他們了解其程序代碼質量哪里需要修改及如何修改，而且因此可以幫助他們成為技術更佳、更有生產力的開發(fā)人員。事實上，透過我們建置的流程，他們必須要了解并解決通過靜態(tài)分析偵測到的問題—沒有其他的選項。
我們還發(fā)現(xiàn)另一個重要的好處是得以簡化ASPICE和ISO 26262外部質量評估，或者其他客戶要求須要遵循的目標。今天，我們做的每一件事都更易于論證，因為我們有清楚的軟件質量目標，并且附有報告呈現(xiàn)，舉例來說，MISRA與CERT變異數(shù)量遠比以往更少，還有證據(jù)顯示我們的程序代碼通過了目標質量標準。
也許更為重要的是，Polyspace產品幫助我們達成質量目標，同時間增加效率，或者至少維持了同樣的效率。通常，在管理團隊或類似的團體調整組織的開發(fā)工作流程來制定執(zhí)行的早期驗證步驟型態(tài)時，開發(fā)人員會將所需要完成的額外步驟視為另外的工作。有了Polyspace產品，我們便能夠向團隊證明，這些為了每一次的收取要求而執(zhí)行的靜態(tài)分析所產生的額外步驟，實際上讓效率提升了。他們可以更有效率、更具信心地交付高質量的程序代碼，因為所有透過靜態(tài)分析找到的錯誤都在較早的階段就已經被消滅，而不會留存到最終階段。
（本文由鈦思科技提供；作者David Tuset、Roger Marsal、Yolanda Guasch任職于Ficosa International公司）