靜態代碼分析是指無需運行被測代碼，僅通過分析或檢查源程序的語法、結構、過程、接口等來檢查程序的正確性，找出代碼隱藏的錯誤和缺陷，如參數不匹配，有歧義的嵌套語句，錯誤的遞歸，非法計算，可能出現的空指針引用等等。

在軟件開發過程中，靜態代碼分析往往先于動態測試之前進行，同時也可以作為制定動態測試用例的參考。統計證明，在整個軟件開發生命周期中，30% 至 70% 的代碼邏輯設計和編碼缺陷是可以通過靜態代碼分析來發現和修復的。

但是，由于靜態代碼分析往往要求大量的時間消耗和相關知識的積累，因此對于軟件開發團隊來說，使用靜態代碼分析工具自動化執行代碼檢查和分析，能  夠極大地提高軟件可靠性并節省軟件開發和測試成本。

靜態分析優勢

幫助程序開發人員自動執行靜態代碼分析，快速定位代碼隱藏錯誤和缺陷。

幫助代碼設計人員更專注于分析和解決代碼設計缺陷。

顯著減少在代碼逐行檢查上花費的時間，提高軟件可靠性并節省軟件開發和測試成本。

靜態分析主要技術

缺陷模式匹配：缺陷模式匹配事先從代碼分析經驗中收集足夠多的共性缺陷模式，將待分析代碼與已有的共性缺陷模式進行模式匹配，從而完成軟件的安全分析。這種方式的優點是簡單方便，但是要求內置足夠多缺陷模式，且容易產生誤報。

類型推斷：類型推斷技術是指通過對代碼中運算對象類型進行推理，從而保證代碼中每條語句都針對正確的類型執行。這種技術首先將預定義一套類型機制，包括類 型等價、類型包含等推理規則，而后基于這一規則進行推理計算。類型推斷可以檢查代碼中的類型錯誤，簡單，高效，適合代碼缺陷的快速檢測。

模型檢查：模型檢驗建立于有限狀態自動機的概念基礎之上，這一理論將被分析代碼抽象為一個自動機系統，并且假設該系統是有限狀態的、或者是可以通過抽象歸 結為有限狀態。模型檢驗過程中，首先將被分析代碼中的每條語句產生的影響抽象為一個有限狀態自動機的一個狀態，而后通過分析有限狀態機從而達到代碼分析的 目的。模型檢驗主要適合檢驗程序并發等時序特性，但是對于數據值域數據類型等方面作用較弱。

數據流分析：數據流分析也是一種軟件驗證技術，這種技術通過收集代碼中引用到的變量信息，從而分析變量在程序中的賦值、引用以及傳遞等情況。對數據流進行 分析可以確定變量的定義以及在代碼中被引用的情況，同時還能夠檢查代碼數據流異常，如引用在前賦值在后、只賦值無引用等。數據流分析主要適合檢驗程序中的 數據域特性。

主流靜態代碼分析工具：FindBugs、PMD、CheckStyle、Sonar、CodeAnalyzer。

CodeAnalyzer（簡稱CA)是上海澤眾軟件科技有限公司自主研發的專業代碼質量管理的代碼審查軟件，用于實現靜態分析、代碼走查、代碼規范檢查以及代碼潛在錯誤分析的白盒測試工具，它是一種脫離編譯器的代碼靜態分析軟件產品。

靜態代碼掃描工具對比分析：

靜態分析和代碼審查：一文搞懂靜態代碼分析

如何評估軟件代碼的質量？代碼掃描工具有哪些？

常見的靜態源代碼安全檢測工具優缺點比較

提高代碼質量之使用合適的代碼審查工具