Non credo che sia necessario conservare molte informazioni di analisi statica, se non del tutto. Tuttavia, per supportare questo, hai bisogno di buone pratiche di gestione della configurazione.
In primo luogo, dovresti codificare regolarmente il codice nel tuo repository del codice sorgente. Prendi in considerazione i tag ( git , Svversione , ClearCase - la maggior parte dei sistemi di controllo delle versioni dovrebbe supportare funzionalità simili) qualsiasi build che fai. Contrassegnando le build cruciali con un identificatore univoco (come un numero di build o un timestamp), puoi collegare elementi come una particolare istantanea del codice sorgente alle voci in un database di tracciamento dei difetti o risultati di analisi statiche.
Ora che disponi di tag, puoi associare i risultati dell'analisi statica a specifici repository di codice sorgente. È comunemente accettato che non si debba mantenere il codice generato nel controllo della versione. Direi che non si dovrebbe tenere tutto ciò che può essere generato direttamente dal codice sorgente, che include l'analisi statica. Tuttavia, ai fini della tracciabilità, dovrai essere in grado di associare i difetti derivati dall'analisi statica alla build che ha causato il rilevamento.
Realisticamente, potresti voler mantenere alcuni risultati di analisi statica. Ad esempio, i risultati dell'analisi prima di una versione esterna possono essere inclusi come parte di un rapporto di prova formale. Anche se non fa parte di un rapporto di prova, è possibile mantenerlo in un archivio di progetto. Si può anche considerare di includere un sommario dell'analisi statica (come numero di risultati, numero di risultati per riga di codice sorgente, numero di risultati per modulo, numero di risultati per criticità o numero di risultati per tipo).
Potresti anche considerare come gestisci il tuo strumento di analisi statica, specialmente se lo stai utilizzando come parte di un qualche tipo di test o report formale. È necessario essere in grado di considerare la versione dello strumento, nonché il file di configurazione oi parametri utilizzati durante l'esecuzione dello strumento su una determinata versione del codice di base. Se non gestisci la versione e la configurazione del tuo strumento, diventa più difficile riuscire a rigenerare esattamente lo stesso rapporto per un determinato codice base.