DevOps系列之 —— 持续开发与集成（六）静态代码检查

最新推荐文章于 2023-09-20 20:23:30 发布

若尘

最新推荐文章于 2023-09-20 20:23:30 发布

阅读量4.1k

点赞数 9

分类专栏： DevOps 文章标签： 1024程序员节 devops 静态代码检查

本文链接：https://blog.csdn.net/qq_29339467/article/details/120933268

版权

DevOps 专栏收录该内容

15 篇文章 10 订阅

订阅专栏

DevOps系列之 —— DevOps概览（一）软件产业和交付模式发展趋势
 DevOps系列之 —— DevOps概览（二）新型软件技术及交付模式
 DevOps系列之 —— DevOps概览（三）DevCloud HE2E DevOps 框架及其主要服务
 DevOps系列之 —— 持续规划与设计（一）敏捷项目管理理念与方法实践
 DevOps系列之 —— 持续规划与设计（二）规划与设计
 DevOps系列之 —— 持续规划与设计（三）敏捷项目管理的方法【Kanban 与 Scrum】
DevOps系列之 —— 持续规划与设计（四）敏捷需求管理【用户故事 & 敏捷估算】
DevOps系列之 —— 持续规划与设计（五）团队与协作
 DevOps系列之 —— 持续规划与设计（六）华为敏捷项目管理企业实践
 DevOps系列之 —— 持续开发与集成（一）持续集成理念、方法及实践
 DevOps系列之 —— 持续开发与集成（二）代码托管与分支策略（Git Flow、GitHub Flow & GitLab Flow）
DevOps系列之 —— 持续开发与集成（三）Git 基本概念及主要操作
 DevOps系列之 —— 持续开发与集成（四）代码提交及代码评审
 DevOps系列之 —— 持续开发与集成（五）华为云 DevCloud 代码托管服务及 CloudIDE

DevOps 系列文章，持续更新中 ~~~

静态代码检查

什么是静态代码检查

静态代码检查，又被称为静态程序分析（Static program analysis）
静态 是指在 不运行计算机程序 的条件下，进行程序分析
大部分的静态程序的分析的对象是针对 特定版本的源代码，也有些静态程序分析的对象是 目标代码

为什么做静态代码检查

静态代码检查可以不运行程序就为我们定位出来一些问题，这些问题会导致一些潜在的风险（如下表）

潜在问题	风险
重复代码过多	造成开发人力的浪费以及后期维护成本增加
编码风格糟糕	代码凌乱、不可读，难于维护与开发修改
圈复杂度过高	造成代码可维护性、可继承性降低，问题定位难度加大
编码安全风险	使用具有安全风险的函数，导致系统的安全性层级降低，加大系统的安全风险

静态代码检查关注点

编号	检查点（举例）	概述
1	重复率	表示一段源代码在一个程序，或者一个团体所维护的不同程序中重复出现，是不希望出现的现象
2	代码风格	程序开发人员所编写源代码的书写风格，良好代码风格的特点是使代码 `易读`
3	圈复杂度	衡量一个模型判定结构的复杂程度，数量上表现为独立线性路径条数，圈复杂度大说明程序代码可能质量低且难于测试和维护
4	代码安全	编码过程中，常见的安全问题包括（不限于）：缓冲区溢出/跨站脚本攻击（XSS）/SQL 注入/XML 注入/LDAP 注入

静态代码检查常用分析技术

编号	分析技术	概述
1	词法分析	从左至右一个字符一个字符的读入源程序，对构成源程序的字符流进行扫描，通过使用正则表达式匹配方法将源代码转换为等价的符号（Token）流，生成相关符号列表
2	语法分析	判断源程序结构上是否正确，通过使用上下文无法语法将相关符号整理为语法树
3	数据流分析	对控制流图进行遍历，记录变量的初始化点和引用点，保存切片相关数据信息
4	无校代码分析	根据控制流图可分析孤立的节点部分为无效代码
5	抽象语法树分析	将程序组织成树形结构，树中相关节点代表了程序中的相关代码
6	语义分析	对结构上正确的源程序进行上下文有关性质的审查
7	控制流分析	生成有向控制流图，用节点表示基本代码块，节点间的有向边代表控制流路径，反向边表示可能存在的循环；还可生成函数调用关系图，表示函数间的嵌套关系
8	污点分析	基于数据流图判断源代码中哪些变量可能受到攻击，是验证程序输入、识别代码表达缺陷的关键

代码检查的常用工具

编号	检查工具	概述
1	Splint	Splint 是开源的静态软件缺陷检测工具，用于检测用 `标准C` 实现的软件缺陷
2	Klocwork K8	支持 C/C++，Java，它能检测缓冲区溢出、内存泄漏、安全漏洞等软件缺陷
3	Coverity	第一个能够快速、准确分析当今的大规模（几百万、甚至几千万行的代码）、高复杂度代码的工具。检测和解决 C、C++、Java 和 C# 源代码中最严重的缺陷的领先的自动化工具
4	Findbugs	是一个基于 Java 语言的静态分析工具，它主要检查类或者 jar 文件
5	PMD	采用 BSD 协议发布的 Java 程序代码检查工具，其核心是 javacc 解析器
6	Cppcheck	一种开源的 C/C++ 代码缺陷静态检查工具，只检查编译器检查不出来的 bug，不检查语法错误

代码检查的企业实践

代码检查已经被集成到华为的软件生命周期当中，作为其中的重要一环存在
不通过代码检查就无法合入代码仓库
在个人级和版本级的流水线当中，都会被自动触发执行
通过多年的开发经验，现已积累了大量的代码检查规则，并将这些经验能力提供至华为云DevCloud平台的CodeCheck当中

静态代码检查的效果

静态代码检查前
- 如何找 Bug？
  - 单元测试，黑盒测试，代码审查
- 资源约束
  - 人力有限：人员的质量（测试人员的能力水平、素质等），投入回报比等
  - 时间有限：产品快速迭代，发布周期短，个人时间有限
  - 空间有限：测试用例检查范围小，测试覆盖率不够大
  - 精力有限：人类大脑精力等有限
静态代码检查后
- 如何找 Bug？
  - 静态代码检查
- 克服约束
  - 在不运行程序的前提下找出问题
  - 不依赖于好的测试用例（对人员的素质要求有所降低）
  - 不单单测试单个代码片段【全路径覆盖】
  - 不需要知道软件到底想干什么

CodeCheck

CodeCheck 多语言检查

支持混合语言检查

CodeCheck 问题可视化

在这里插入图片描述

CodeCheck 规则集管理

自定义规则集
集中管理并共享规则集

CodeCheck 误报与漏报统一管理

Others：
- 误报率高
- 误报优化难
- 误报问题重复报
CodeCheck：
- 支持跨函数的深度检查
- 标记误报后不会再报
- 预置规则集误报率低
- 部分误报持续优化

什么叫误报？

在代码检查的过程中，发现某个东西有问题报错，我们进行审核的时候再看，同样是没有问题，这就是误报

CodeCheck 特性

一站式
- 覆盖主流语言和标准
- SDLC 集成：提交代码时、合并代码时，会触发流水线当中的静态代码检查环节
专业性
- 提供专业级的预置规则集
- 提供专业的缺陷修复建议
- 支持跨函数的深度检查
- 缺陷精确定位到代码行
多分支检查
- 可自由切换分支进行检查
聚焦新问题
- 在每个任务的基础上可以设置新问题起始时间（默认起始时间为当前任务上一次检查成功的时间，起始时间之后检查出的所有问题属于新问题）
责任自动归属
- 静态分析过程中，自动将新问题分配给问题代码行上的 最后一次提交者
问题协作
- 可以与他人分享问题链接，提升协作便利性

CodeCheck 产品典型操作流程

在这里插入图片描述

创建代码检查任务

选择代码仓库
选择检查语言
完成任务创建

执行代码检查任务

任务主页点击开始检查
等待任务检查完成（查看检查进度）
查看检查结果

任务详情 —— 概览视图

任务当前分支：默认为 master 分支
任务最近检查时间
未检查问题数、未解决新问题数、已解决问题数
代码平均圈复杂度、代码重复率、有效代码行数
未解决问题严重程度统计
问题最多 Top 10 检查规则
问题指派分布统计

任务详情 —— 问题视图

过滤器功能：提供按问题级别、问题状态、问题检测时间、规则、文件目录、负责人过滤
单个问题卡片：包含问题所在文件、问题报错信息、问题级别、状态、负责人、修改建议等
问题可操作区域：可手动更新问题状态、问题负责人、查看问题修改建议等
问题关键代码片段

任务详情 —— 代码度量视图

代码度量指标（可切换过滤）
对应指标下的具体数据列表

任务详情 —— 设置视图

任务名称、检查语言等的更新
选择代码检查任务的规则集
自定义执行计划
自定义任务通知（比如检查完成时通知）
自定义新问题初始时间等
删除当前任务

思考题

以下对于 Git Rebase 和 Merge 两种合并方式的区别，哪些选项描述是正确的？
A. Merge 是一个合并操作，会将两个分支的修改合并在一起，默认操作的情况下会提交合并中修改的内容
B. Rebase 的提交历史忠实地记录了实际发生过什么，关注点在真实的提交历史上面
C. Rebase 并没有进行合并操作，只是提取了当前分支的修改，将其复制在了目标分支的最新提交后面
D. Merge 的提交历史反映了项目过程中发生了什么，关注点在开发过程上面