Fasoo Sparrow
목차
개요
파수닷컴에서 개발한 소프트웨어 정적분석 솔루션. 워낙에 높은 가격대 덕분에 대중적으로는 잘 알려져 있지 않다. 애초에 일반 소비자는 판매 대상이 아니다. 서울대학교에서 시작한 소프트웨어 정적분석 연구 프로젝트의 소스와 인력을 흡수하여 만들어진 제품이라고 한다.
Sparrow의 기능은 소프트웨어의 소스코드를 실제 실행 없이 분석하여 그 안에 존재하는 다양한 오류를 찾아주는 것이다. 정적분석은 실제로 소스코드를 컴파일하여 수행하는 동적분석에 비하여 여러가지 장점이 있는데:
- 컴파일이 필요 없으므로 컴파일에 필요한 라이브러리나 기타 제반 환경들에 신경 쓸 필요가 없고 (특히 모바일 앱이나 임베디드 소프트웨어의 경우, 제대로 된 동적분석을 하려면 실제 디바이스가 필요하다)
- 머리 아프게 다양한 테스트 케이스를 만들지 않아도 충분히 많은 오류를 찾을 수 있으며
- 오류 발견시 발견 지점과 그 원인에 대해 충분한 설명을 제공 받을 수 있다
- 존 카멕이 강추한다
3류 개발자 따위동영상(54분 18초 부터).
하지만 여러가지 단점도 존재하는데:
- 실제 오류가 아닌데도 오류가 발생 할 수 있다고 알려주는 허위경보가 발생하며
- 수행 시간이 컴파일 시간 대비 상당히 느리고 (분석 깊이에 따라 다르지만 문법 체크 정도를 도와주는 가벼운 툴이 아니라면 2-4배는 기본으로 느리다)
- 수천개씩 발생하는 오류 경보들을 결국 사람이 일일히 검토해야 한다.
최근 소프트웨어 개발보안제도의 의무화와 함께 울며 겨자먹기로 구매하는 기업이 늘고 있다 하더라.