Todos usamos herramientas de análisis estático como ESLint todos los días para garantizar una mejor calidad de nuestro código. ¿Cómo funciona y qué es complicado en JavaScript, lo que hace que escribir una regla adecuada a menudo no sea trivial?
This talk has been presented at JSNation 2023, check out the latest edition of this JavaScript Conference.
El análisis estático de código en JavaScript es un proceso donde un programa examina el código fuente sin ejecutarlo para identificar posibles errores, problemas de seguridad, o generar métricas y advertencias sobre la calidad del código.
Los niveles de análisis estático en JavaScript incluyen análisis basado en texto, análisis de tokens, árbol de sintaxis abstracta (AST), análisis semántico, análisis de flujo de control y análisis de flujo de datos.
El análisis estático examina el código fuente sin ejecutarlo, mientras que el análisis dinámico involucra la ejecución del código y es utilizado en pruebas como la cobertura de código y pruebas unitarias.
Un árbol de sintaxis abstracta (AST) es una representación en forma de árbol del código fuente, que permite realizar análisis más detallados y específicos del mismo, identificando estructuras como funciones, condiciones y bucles.
No, el análisis estático puede identificar muchos tipos de errores y problemas de calidad, pero no todos, ya que algunas deficiencias solo se revelan durante la ejecución del código.
Una regla en el análisis estático es una directriz que el analizador utiliza para evaluar el código. Se implementan en diversos niveles de análisis y pueden ser simples, como verificar el uso correcto de comillas, o complejas, considerando contextos y excepciones específicas.
Ajustar una regla es crucial para minimizar falsos positivos y asegurar que la regla sea relevante y útil en diversos contextos y situaciones específicas del desarrollo de software.
Hola a todos. Mi nombre es Elena Vilchik y voy a hablarles sobre el análisis estático en JavaScript. Trabajo en la empresa Cynar, escribiendo analizadores para JavaScript y otros lenguajes. El análisis estático de código es un programa que analiza el código fuente sin ejecutarlo, produciendo métricas, problemas o advertencias. Es diferente del análisis dinámico, que ejecuta el código. Hay diferentes niveles de análisis estático, incluyendo análisis basado en texto, basado en tokens, árbol de sintaxis y análisis semántico. El análisis de flujo de control es un modelo menos utilizado.
Antes de entrar en lo que es fácil y lo que es difícil, quiero contarles primero qué es el análisis estático de código. No todos pueden estar al tanto de eso. Un analizador de código estático es un programa, como podrán haber adivinado, que toma el código fuente , los archivos de texto del programa. A veces, para algunos lenguajes, toma algo más. Algunos archivos precompilados, por ejemplo, bytecode para Java, para obtener información semántica producida por el compilador. Y sin ejecutar realmente el código fuente, puede tener alguna imitación de la ejecución, pero nunca ejecuta realmente el código fuente, produce algunas métricas, problemas o advertencias, hallazgos, como quieran llamarlos. También pueden pensar, bueno, análisis estático, lo entiendo, entonces ¿qué es el análisis dinámico y si son direcciones competidoras de lo mismo, de hecho no, el análisis dinámico lo usan todos los días, esto es algo que realmente ejecuta un código y ejemplos también que son conocidos por todos, esto es la cobertura de código, estas son las pruebas unitarias, y en realidad estas dos cosas son necesarias para todos y grandes amigos y ayudantes de cada desarrollador en la vida cotidiana.
Voy a repasar los niveles de análisis estático, niveles en términos de los modelos que se utilizan para escribir. Vamos a utilizar el término regla que es familiar para todos. El primer nivel será basado en texto cuando solo obtienes el archivo fuente y tratas de inferir algo a partir de eso. Esto puede ser, por ejemplo, el número de líneas en el archivo o la presencia del encabezado de licencia. Para obtener esas cosas, no necesitas saber nada más que el texto del código fuente. El siguiente nivel serán los tokens. Los divides en palabras. Conoces algunos metadatos sobre esos tokens, si es una palabra clave, un dictador, y puedes saber, escribir algunas reglas en este nivel. Por ejemplo, para el literal de cadena, puedes decir que, okay, tengo este token literal y puedo decirte si está usando las comillas correctas, ya sea comillas simples o comillas dobles, lo que configures. El siguiente nivel es el árbol de sintaxis o árbol de sintaxis abstracta, AST por sus siglas en inglés. Esto es muy común, el nivel más utilizado donde representamos el código fuente en el formato de árbol. Aquí está el ejemplo, un poco simplificado por supuesto por la brevedad del código que acabamos de tener antes. Tenemos una función que tiene el nombre foo y el parámetro p que tiene un cuerpo. La declaración if tiene una condición con un operador de igualdad y esos tienen operandos, p falso y una llamada a la función. Así que para aquellos que no lo sabían, realmente recomendaría echar un vistazo al sitio web IST Explorer , un sitio web genial que te mostrará la representación AST del código fuente que pongas allí, muy útil incluso para investigar algunas características nuevas del lenguaje y ver qué es realmente lo que acabas de ingresar allí, qué tipo de sintaxis de lenguaje es. hay un nivel semántico, semántico estamos hablando de rivales, sus declaraciones, usos y en este nivel, por ejemplo, sabes que aquí está el parámetro P, se declara aquí, se usa aquí, luego está la función foo que se declara y se referencia en la última línea y la variable P que no es la misma que el parámetro P aunque tengan el mismo nombre, aquí se declaran en diferentes ámbitos, el ámbito es otra noción de este nivel y aquí se escribe y declara y aquí se lee. Y luego hablamos de modelos más avanzados que generalmente no se utilizan tanto como todos los anteriores, el más común de ellos es el análisis de flujo de control que está presente, por ejemplo, en el núcleo de ESLint.
En este nivel, tenemos en cuenta el orden de ejecución de instrucciones, expresiones y declaraciones. El análisis de flujo de datos tiene como objetivo determinar los valores de los datos en un programa. El compilador de TypeScript realiza análisis de flujo de datos para verificar los tipos de variables basados en el flujo de control. Cada nivel se basa en el anterior, siendo el análisis de flujo de control un requisito previo para el análisis de flujo de datos.
En este nivel, tenemos en cuenta el orden de ejecución de instrucciones, la ejecución de expresiones y declaraciones, o nuestro ejemplo con la declaración if. Dentro de la función foo, tenemos la condición p igual a true y, dependiendo de si es verdadera, la mostraremos en un alert, si no, mostraremos en un alert que podemos salir también. Así que este es el último nivel del que quería hablar, el último modelo es el análisis de flujo de datos.
En este nivel, queremos conocer los valores, lo máximo que podemos aprender sobre los valores de los datos, en otras palabras, del programa. Por supuesto, no podemos saberlo todo porque nadie lo sabe todo hasta que realmente se ejecute el programa, pero podemos saber algo sobre los valores. Por ejemplo, en este bloque de código, si es igual a true, sabremos que p es en realidad un valor verdadero, en el else sabremos que no es verdadero. Fuera de este if, no sabremos nada sobre el valor de p. También puedes pensar en el compilador de TypeScript como un análisis de flujo de datos, porque eso es lo que hace. Observa el flujo de control del programa y verifica, según las diferentes declaraciones, diferentes expresiones, cuáles son los límites para el tipo de variable. Y aquí la noción entre valor y tipo es bastante difusa, debido a la forma en que TypeScript lo define. Y como habrás notado, cada nivel siguiente se basa en el anterior para poder construir el análisis de flujo de datos, necesitas tener necesariamente el análisis de flujo de control, y así sucesivamente.
Entonces, ¿qué es fácil en JavaScript? Su naturaleza dinámica y la abundancia de comportamientos extraños hacen que sea fácil generar ideas para reglas, especialmente para los recién llegados. La implementación de la mayoría de las reglas en los primeros niveles, como texto, tokens, IST y semántica, es sencilla. Por ejemplo, la regla No New Symbol de YesLint tiene una implementación corta y clara. Por otro lado, la regla lint.nonused.variable requiere una consideración exhaustiva de varios casos y parámetros, demostrando el principio de Pareto en la implementación de reglas. Ajustar la regla con diferentes opciones y casos especiales es crucial para obtener resultados óptimos. Esto incluye considerar las características del lenguaje, las prácticas de desarrollo y el uso de frameworks y bibliotecas.
Entonces, ahora comienzo a hablar sobre lo que es fácil. Lo que es fácil es que diría que JavaScript es un lenguaje que es súper dinámico, que tiene muchos comportamientos extraños, lo que nos da muchas ideas para las reglas, especialmente para las personas que son nuevas en el lenguaje. No muchas personas esperarían que X igual a null sea verdadero cuando x es indefinido, que X igual a null nunca sea verdadero, y que el signo más sea una concatenación cuando hay al menos un operando de cadena. Otra cosa sobre la facilidad es que la mayoría de las reglas se implementarán en los primeros niveles, en el texto, tokens, IST y semántica, y la implementación será bastante sencilla.
Tomé el ejemplo de la regla No New Symbol de YesLint. Esta regla te informa cada vez que usas un nuevo símbolo, lo cual producirá una excepción en tiempo de ejecución, ya que debes usar un símbolo incorporado sin new. Verás que la implementación es muy corta. Primero tienes el bloque de metadatos para la regla con descripción y mensaje. Y luego aquí está la implementación real de la regla, que consta de solo 20 líneas o incluso menos. Obtenemos del ámbito global todas las variables con nombre de símbolo, porque si estamos usando el símbolo incorporado, será del ámbito global. Luego verificamos que las definiciones sean cero, porque de lo contrario significaría que el símbolo es declarado por el usuario y necesitamos un símbolo incorporado. Luego iteramos en todas sus referencias y, para cada una, verificamos si es una nueva expresión, y se lo informamos al usuario. Así que sí, eso es todo, muy claro y como quisieras que se vea. Otro ejemplo que quería mostrarte es la regla lint.nonused.variable. Entonces, si piensas en cómo la implementaría, diría que estoy tomando cada variable del archivo y cuando solo tiene una declaración y cero usos, esta es en realidad una variable nueva y se puede eliminar. Ahora veamos cómo se implementa realmente la regla. Verás que la regla es bastante grande, y estoy desplazándome y desplazándome y desplazándome y desplazándome, y finalmente terminé las últimas 700 líneas de código. Así que podrías haber adivinado que esto no es solo lo que acabamos de decir acerca de las variables de llegada sin ningún uso con solo declaraciones. Hay muchas cosas que los desarrolladores de esta regla tuvieron que considerar. Tiene muchos parámetros sobre rest, destructuring, co-errores, arcos y algunas excepciones. Y creo que hay muchos casos diferentes más que tuvieron que considerar para poder tener una buena implementación. Ahí es cuando hablaré sobre el principio de Pareto, que es cierto para muchas cosas en nuestras vidas. Pero aquí también es cierto que, para muchas reglas, cuando la implementas, la implementación intuitiva básica, que es muy pequeña en términos de trabajo y que te brinda el 80% del resultado, es buena. Pero necesitas pasar el 80% de tu tiempo ajustando la regla, con diferentes opciones y casos especiales, que darán como resultado ese 20% de los resultados de la regla. Pero esto es esencial para hacer una buena regla. Y para ajustar la regla, puedes hacerlo por muchas razones. Por ejemplo, enumeré tres cosas. Aquí están las características del lenguaje, que son antiguas, o en el futuro opuesto, aún no se han lanzado como parte del ECMAScript oficial, o son recientes y no las tuviste en cuenta cuando quisiste implementar la regla. También podría haber algunas prácticas de desarrollo que son bastante comunes, pero yo, por ejemplo, no las escribiría de la forma en que se muestra en la condición if, escribiría dos líneas, y la regla sobre una declaración por línea no la informaría, pero muchas personas la escriben en una línea, y necesitamos excluirlo para no molestarlos. También hay muchos frameworks y bibliotecas que, cuando los
Otras reglas sobre el tamaño de las funciones, como el número de declaraciones o líneas, pueden ser excluidas para eliminar el ruido. La ausencia de tipos en JavaScript hace que el análisis estático sea desafiante. La regla de retorno de línea es un ejemplo de una regla que está desactivada de forma predeterminada. Detecta el uso incorrecto de la función map y reporta cualquier uso, independientemente de la estructura similar a un array. La implementación de esta regla tiene limitaciones, lo que lleva a su desactivación predeterminada. Se pueden considerar diferentes estrategias y heurísticas para esta regla, cada una con sus ventajas y desventajas en términos de verdaderos positivos y falsos positivos.
La naturaleza dinámica e incierta de JavaScript dificulta la detección de errores. Un ejemplo es la regla 'no argumentos adicionales', que informa cuando una función se llama con más argumentos de los que espera. La implementación de esta regla se vuelve más compleja al tratar con funciones exportadas o importadas, devoluciones de llamada o funciones con parámetros desconocidos. Técnicas avanzadas, como la detección de variables no utilizadas, requieren la implementación de análisis de variables y gráficos de flujo de control. Escribir reglas estáticas puede ser difícil, como lo demuestra el gran número de instancias de YesLingDisabled en GitHub. Comprender el análisis estático y utilizar herramientas de análisis estático puede mejorar en gran medida la calidad del código.
We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career
JSNation 2023
JSNation 2022
React Summit 2023
JSNation 2024
DevOps.js Conf 2022
JSNation 2023
React Summit 2023
React Advanced 2021
React Summit US 2023React Summit US 2024
React Summit US 2023React Advanced 2023
Comments