Discovering Dependence Relations between Static Analysis Alarms

정적 분석 경보 사이의 종속 관계를 이용한 대표 경보 찾기

오류 정적 분석기가 출력하는 분석 경보 사이의 종속 관계를 안전하게 계산하여, 분석 경보들을 무리 짓는 짓고, 대표 경보들만을 출력하는 기법을 소개한다. 경보 1이 가짜 경보일 때 경보 2도 항상 가짜 경보가 된다면, 경보 1을 살펴 가짜 경보임을 안 경우에 경보 2를 살펴볼 필요가 없다. 따라서, 경보 2는 경보 1에 종속적이라고 말할 수 있다. 버퍼 오버런 분석기의 분석 경보 보고서를 개선하기 위해 이러한 기법을 적용한 결과, 여러 개의 오픈 소스 소프트웨어들의 분석 후에 보고되는 경보의 수를 평균 60% 줄일 수 있었다. 종속 관계 계산을 위해 소요되는 추가적인 분석 시간은 평균 20% 이다. 제안하는 기법은 요약 해석에 기반을 둔 모든 정적 분석기에 적용할 수 있으며, 실제 오류일 가능성이 높은 경보를 먼저 보여주는 통계적인 기법들과 독립적으로 사용될 수 있다.