Fasoo Sparrow [목차] == 개요 == [[http://www.fasoo.com/|파수닷컴]]에서 개발한 소프트웨어 정적분석 솔루션. 워낙에 높은 가격대 덕분에 대중적으로는 잘 알려져 있지 않다. [[서울대학교]]에서 시작한 소프트웨어 정적분석 연구 프로젝트의 소스와 인력을 흡수하여 만들어진 제품이라고 한다. Sparrow의 기능은 소프트웨어의 소스코드를 실제 실행 없이 분석하여 그 안에 존재하는 다양한 오류를 찾아주는 것이다. 정적분석은 실제로 소스코드를 컴파일하여 수행하는 동적분석에 비하여 여러가지 장점이 있는데: * 컴파일이 필요 없으므로 컴파일에 필요한 라이브러리나 기타 제반 환경들에 신경 쓸 필요가 없고 (특히 모바일 앱이나 임베디드 소프트웨어의 경우, 제대로 된 동적분석을 하려면 실제 디바이스가 필요하다.) * 머리 아프게 다양한 테스트 케이스를 만들지 않아도 충분히 많은 오류를 찾을 수 있으며 * 오류 발견시 발견 지점과 그 원인에 대해 충분한 설명을 제공 받을 수 있다. * [[존 카멕]]이 강추한다 ~~3류 개발자 따위~~ [[https://youtu.be/4zgYG-_ha28|동영상(54분 18초 부터)]]. 하지만 여러가지 단점도 존재하는데: * 실제 오류가 아닌데도 오류가 발생 할 수 있다고 알려주는 허위경보가 발생하며 * 수행 시간이 컴파일 시간 대비 상당히 느리고 (분석 깊이에 따라 다르지만 문법 체크 정도를 도와주는 가벼운 툴이 아니라면 2-4배는 기본으로 느리다.) * 수천개씩 발생하는 오류 경보들을 결국 사람이 일일히 검토해야 한다. ~~최근 소프트웨어 개발보안제도의 의무화와 함께 울며 겨자먹기로 구매하는 기업이 늘고 있다 하더라.~~ 경쟁 소프트웨어로는 [[http://www8.hp.com/us/en/software-solutions/static-code-analysis-sast/|포티파이]], [[http://www.coverity.com/|코베리티]], [[http://www.klocwork.com/|클록워크]] 등이 있다. [[분류:소프트웨어]]