🔍 Static Analysis & Automated Linting

Filosofia: “La revisione manuale è costosa; automatizza tutto ciò che è deterministico.”

::: info DEFINIZIONE L’analisi statica esamina il codice sorgente senza eseguirlo. È in grado di identificare bug potenziali, memory leak, vulnerabilità di sicurezza e violazioni delle “best practices” analizzando i pattern sintattici e i grafi di controllo. :::

1. Lo Stack di Analisi per Python

Python è un linguaggio dinamico, il che rende l’analisi statica fondamentale per catturare errori che altrimenti si manifesterebbero solo a runtime.

🛡️ Bandit (Security)

Specializzato nel trovare vulnerabilità di sicurezza comuni (es. uso di eval, hardcoded passwords, configurazioni subprocess insicure).

• Comando: pip install bandit && bandit -r ./src

📐 MyPy (Static Typing)

Verifica la coerenza dei tipi. Fondamentale perché l’IA spesso genera codice con tipi ambigui o incoerenti.

• Comando: pip install mypy && mypy ./src

🧹 Pylint / Ruff (Code Quality & Style)

Ruff è lo standard moderno: estremamente veloce (scritto in Rust), sostituisce Flake8 e Pylint.

• Comando: pip install ruff && ruff check .

2. Lo Stack di Analisi per C++

In C++, l’analisi statica è una questione di sopravvivenza per prevenire crash di memoria e undefined behavior.

⚙️ Cppcheck

Lo standard per il mondo embedded e bare-metal. Trova memory leak, mismatch di allocazione e variabili non inizializzate.

• Comando: cppcheck --enable=all --std=c++20 ./src

🔧 Clang-Tidy

Un “linter” basato sul compilatore Clang. Non solo trova bug, ma suggerisce come aggiornare il codice agli standard più recenti (es. trasformare puntatori raw in std::unique_ptr).

• Comando: clang-tidy main.cpp -- -std=c++20

📉 Workflow di Automazione (Mermaid)

graph TD
    CODE[Scrittura Codice / Generazione AI] --> HOOK{Pre-commit Hooks}
    HOOK -->|Pass| COMMIT[Git Commit]
    HOOK -->|Fail| FIX[Correzione Automatica / Manuale]
    
    subgraph Analisi_Automatica
        HOOK --> RUFF[Ruff: Python Style]
        HOOK --> BANDIT[Bandit: Python Security]
        HOOK --> CPP[Cppcheck: C++ Safety]
    end
    
    FIX --> CODE

🏗️ Implementazione: pre-commit framework

Per evitare di dimenticare l’analisi, utilizziamo il framework pre-commit. Esso esegue automaticamente i tool scelti ogni volta che provi a fare un git commit.

Crea un file .pre-commit-config.yaml nella root del progetto:

# .pre-commit-config.yaml
repos:
-   repo: https://github.com/astral-sh/ruff-pre-commit
    rev: v0.1.0
    hooks:
    -   id: ruff
        args: [ --fix ]
-   repo: https://github.com/PyCQA/bandit
    rev: 1.7.5
    hooks:
    -   id: bandit
        args: ["-r", "-lll"]
-   repo: local
    hooks:
    -   id: cppcheck
        name: cppcheck
        entry: cppcheck
        language: system
        args: ["--enable=warning,performance,portability", "--std=c++20"]
        files: \.(cpp|h|hpp)$

💡 Integrazione in VS Code

Per un feedback istantaneo mentre lavori con Copilot o Claude:

1. Python: Installa l’estensione “Ruff” e “Mypy Type Checker”.
2. C++: Installa l’estensione “clangd” (sostituisce l’estensione C++ standard di Microsoft e integra Clang-Tidy in tempo reale).
3. Configurazione: Abilita "editor.formatOnSave": true.

⚖️ Il verdetto dell’Architetto

::: warning LIMITAZIONI I tool SAST sono eccellenti per trovare il “cosa” (sintassi, sicurezza), ma sono ciechi al “perché” (logica di business).

• Se l’IA genera una funzione che calcola correttamente l’IVA ma la applica al campo sbagliato del database, nessun linter ti avviserà.
• L’analisi statica riduce il rumore, permettendoti di concentrarti sulla Code Review Architetturale. :::

Tags: #DevOps #StaticAnalysis #Python #CPP #CodeQuality #Automation*