Statische code analyses zijn een goede manier om code te verifiëren en fouten te vinden, zonder dat het programma uitgevoerd wordt. Toch wordt het nog lang niet altijd gebruikt, onder meer omdat er vaak ontzettend veel alarmen uitkomen. Tukaram Muske, die afgelopen juli promoveerde aan de Technische Universiteit Eindhoven (TU/e), heeft technieken ontwikkeld waarmee het aantal alarmen flink gereduceerd kan worden.

Ontwikkelaars kunnen met statische code analyses zowel veelvoorkomende programmeerfouten opsporen als vaststellen of code juist geen fouten heeft  – ook wel het bewijzen van de correctheid van de code genoemd. Maar het kan ook voorkomen dat niet helemaal duidelijk is of een stuk code nu een bug bevat of niet. In dat geval geeft de analyse een alarm af; een waarschuwing dat er mogelijk iets mis is met de code.

Die alarmen worden echter heel vaak gegeven, vertelt Muske. “Er zijn onderzoeken die stellen dat er per duizend regels code gemiddeld 40 alarmen afgegeven wordt. En sommigen stellen dat 35 tot 91 procent van de gemelde alarmen vals positieven zijn. Voor ieder accuraat gemelde fout kunnen bovendien tot wel 50 vals positieven gemeld worden.” Al die alarmen zorgen bovendien voor een hoop werk: de waarschuwing analyseren en eventuele problemen oplossen kan minuten, uren en soms zelfs dagen duren. Statische code analyse wordt dus minder gebruikt dan je misschien zou willen, simpelweg omdat het een hoop werk oplevert.

Limieten wegnemen