深度解读静态代码扫描,如何更低成本提升代码质量

最新推荐文章于 2024-03-25 14:51:05 发布
VIP文章 最新推荐文章于 2024-03-25 14:51:05 发布
阅读量854 收藏 6
点赞数 1
分类专栏: 项目管理 文章标签: 代码扫描 代码质量 代码缺陷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZicoChan/article/details/117294574
版权

从代码的质量左移讲起

所谓质量左移是指代码在测试之前,在编码阶段就已经介入了代码的质量检测,提前发现并修复代码问题,有效减少测试时间,提高研发效率,发现BUG越晚,修复的成本越大。

源代码作为软件的最初原始形态,其安全缺陷是导致软件漏洞的直接根源。因此,通过静态方法分析发现源代码中的安全缺陷是降低软件潜在漏洞的重要方法。

代码保障,保障的是什么?

代码保障的三个核心:代码缺陷,代码安全,代码规范

所谓代码缺陷,即为代码中存在的某种破坏正常运行能力的问题、错误,或者隐藏的功能缺陷。IEEE729-1983对缺陷有一个标准的定义:从产品内部看,缺陷是软件产品开发或维护过程中存在的错误、毛病等各种问题;从产品外部看,缺陷是系统所需要实现的某种功能的失效或违背。

代码安全方面,当今互联网安全形势严峻,2020年上半年,国家信息中心安全漏洞共享平台(CNVD)所收录的漏洞总数为7780,较2019年上半年增加1377个,同比增长17.7%,收录总数达到历史新高。其中包括高危漏洞高达2609个(占33.7%,同比增长8.9%)。

代码规范方面,团队统一代码规范,有助于提升代码可读性以及工作效率,但是现实中研发团队缺乏工具审核规范,缺乏整改规范的示范用例,造成管理代码规范执行起来效果往往是事倍功半。

质量左移最佳方案-静态代码扫描

现如今,日常业务的代码保障工作在生产

最低0.47元/天 解锁文章
Gitee
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【华为OD机试】静态代码扫描服务(python, java, c++, js)
A_D_I_D_A_S的博客
07-11 136
静态扫描快速识别源代码缺陷静态扫描的结果以扫描报告作为输出: 1、文件扫描的成本和文件大小相关,如果文件大小为N,则扫描成本为N个金币 2、扫描报告的缓存成本和文件大小无关,每缓存一个报告需要M个金币 3、扫描报告缓存后,后继再碰到该文件则不需要扫描成本,直接获取缓存结果 给出源代码文件标识序列和文件大小序列,求解采用合理的缓存策略,最少需要的金币数。
静态代码扫描工具TscanCode.zip
07-27
静态代码扫描工具TscanCode
【Java 进阶篇】Java Filter 过滤器拦截路径配置详解
繁依Fanyi的博客
11-10 1340
本文详细介绍了在 Java Web 应用中配置过滤器的拦截路径,包括使用web.xml文件和注解两种方式。通过示例演示了拦截路径的匹配规则,并通过用户权限验证过滤器的例子说明了拦截路径配置的实际应用。过滤器是 Web 应用中强大的组件之一,正确配置拦截路径是保证过滤器按照预期工作的关键。希望本文对开发者理解和使用 Java Web 过滤器提供了帮助。
程序员技能与成长:使用静态代码分析工具和代码审查
最新发布
2401_83384536的博客
03-25 867
静态代码分析是指在不运行计算机程序的条件下进行程序分析的方法。静态代码分析仅通过分析代码的词法、语法、语义、控制流等来检查代码的正确性,帮助软件开发人员、质量保证人员查找代码中的结构性错误、不符合代码规范的地方、安全漏洞等,从而保证软件的整体质量。在进行静态代码分析时不需要运行被测试的代码,所以一般在编码阶段就可以发现问题。在整个软件开发生命周期中,大概有30%~70%的代码逻辑设计和编码缺陷是可以通过静态代码分析发现和修复的。
6 个重构方法可帮你提升80%的代码质量
JAVA技术
02-06 134
在过去做了不少代码走读,发现了一些代码质量上比较普遍的问题,以下是其中的前五名: 臃肿的类: 类之所以会臃肿,是因为开发者缺乏对最基本的编码原则,即“单一职责原则”(SRP)的理解。这些类往往会变得很臃肿,是由于不同的且在功能上缺少关联的方法都放在了相同的类里面。 长方法: 方法之所以会变得很长主要是有以下几个原因: 许多没有关联性的、功能复杂的模块的代码都放在相...
如何提高代码质量
淘系技术
09-04 3013
说起代码质量,脑子里会冒出很多词,命名规范、格式规范、日志规范、单元测试覆盖率...但我觉得,代码质量总结起来就两个:好看和好用。好看是指代码可读性好,容易理解、容易维护,别人接手了不骂...
拥抱质量:改善团队代码质量的计划草案
思考-jinxfei
09-24 3020
最近致力于产品质量的保障和提升工作,首先希望解决的就是代码质量问题。不受约束的程序代码,就像是一个潘多拉宝盒,打开以后让人惊喜连连,当然,目前我所体会到的是惊远远大于喜。要想提升代码质量,首先需要确立质量意识。质量、功能和进度,一个软件项目/产品的三根支柱,但在现实项目中,当质量和其它两项产生冲突时,质量往往是被牺牲的对象。团队对于质量的态度主要停留在口头重视上,似乎还没有上升到团队意
工作那么久,该如何提升代码质量
Herishwater的博客
11-28 570
有这么一句名言“Talk is cheap,Show me the code."不管是新人还是老手,都特别想提高自己的代码质量,至少让别人看的舒服。以往的工作经历中并没有太重视个人编码的能力,包括正确性、美观性还有效率。工作几年的人还写出那么难看的代码,说出去会很丢人的,所以提升编码水平显得尤为迫切。 那么可以从哪些方面着手去提升自己的能力呢? 书籍推荐 《重构》 世界顶级、国宝级别的 Martin Fowler 的书籍,可以说是软件开发领域最经典的几本书之一。目前已经出了第二版。 这是一本值得反复阅读的
【Sonarqube+Jenkins】---- 代码质量提升方案
mayunzhi1993的博客
03-04 579
1、工具简介 SonarQube是一个用于代码质量管理的开源平台,用于管理源代码质量。通过插件机制,SonarQube可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。 SonarQu...
常用Java静态代码分析工具的分析与比较
03-04
Java静态代码分析(staticcodeanalysis)工具能够在代码构建过程中帮助开发人员快速、有效的定位代码缺陷并及时纠正这些问题,从而极大地提高软件可靠性并节省软件开发和测试成本。目前市场上的Java静态代码分析工具
SourceInsight代码静态扫描插件
12-17
集成静态扫描在IDE中,帮助开发人员最快最低成本的发现潜在质量问题。 支持:规则配置,判空配置,误报屏蔽,快速跳转定位等功能。 功能清单 1.检测语法检查。 支持语法检查,弥补SourceInsight缺少的错误列表,...
TscanCode 是腾讯研发的静态代码扫描工具 for mac
02-17
TscanCode致力于帮助程序员从一开始就发现代码缺陷。 1. 支持多种语言:C/C++、C语言和LUA代码。 2. 快速准确,性能可达每分钟200K线,准确率达90%左右。 3. 使用方便,不需要严格的编译环境,一个命令即可运行。4. ...
使用静态分析技术找到真正的代码质量缺陷与安全漏洞.ppt
05-08
使用静态分析技术找到真正的代码质量缺陷与安全漏洞,改进型的静态分析方案
提高代码质量的那些建议
yang1fei2的博客
02-13 1888
程序员跟各行各业的手艺人一样,都是靠自己的作品吃饭。所以要想获得高收入和业界的认可就要不断的学习提高自己的业务水平。这里我总结了一些程序员提升代码质量的建议希望能对你的进阶有帮助。 1.提高代码的复用程度 不管是写新代码还是对旧代码的重构,我们一定要注意提高代码的复用性。很多小白写代码的时候只在意业务功能的实现,往往代码就写成了一坨。下次再有类似的需求的时候还得重写,以往的代码一点也用不上,这就导致了大量的重复工作。所以我们在写代码的时候一定要注重代码的复用性,对代码进行有效的分割,实现高内聚低耦合。这
Code Review 改进方案
iiopsd的博客
12-06 259
一个项目的质量通常分为内部质量和外部质量两种,内部质量通常指代码和设计的质量,可以通过应用设计和编程达到最佳实践,也可以通过持续一致的开发和交付流程来提高;外部质量是通过查看和使用软件(例如验收测试)来度量的。从长远的角度看,内部质量不佳最终会影响外部质量,产品会持续不断地冒出新的bug,产生技术债务,而且开发时间会由于技术债务的增加而变长。项目的内部质量很大程度上取决于代码规范和代码审查(Code Review)。
质量提升方案
06-24 166
1. 从特性角度来看:主备同步,特性裁剪,数据库升级,全局变量初始化 2.问题单分析:分析以往的问题单,看看修改方案是否正确 3.代码检视,新开发代码全量检视 4.测试用例 5.覆盖率分析,主要OMSHL 6.和测试沟通,可能有问题的点 7.代码细节:内存申请释放,类型强制转换,DT字典序GETNEXT,SNMP错误码,CPU_Actieve 8.场景:负荷分担,升级不断业务,保护组
如何提升软件代码质量
周兆熊的专栏
01-15 1424
我对提高软件代码质量的一些看法。
静态代码扫描工具java_静态代码扫描工具
05-13
4. SonarQube:是一个开源的代码质量管理平台,可以集成多种静态代码扫描工具,提供全面的代码质量分析。 5. IntelliJ IDEA:是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 6. Eclipse:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值