本文是读取阿里巴巴 java开发手册 http://www.github5.com/view/437 有感而写,希望对需要编写开发手册、安全开发手册的朋友有所帮助。
目标
编写开发手册的目标是什么?
阿里巴巴 java开发手册 的主体给出了回答,码出高效 码出质量
效率
短期看开发手册必将设定各种约束和规定,比如变量怎么命名,函数只能写多少行,但从软件整个生命周期的长期看,通过编码的规范,人员更好的进行互补,防止因人员变动影响整体软件开发的进度。
质量
可以使得软件增加了可读性,提高了可维护性、安全性,防止出现黑天鹅事件(宕机后,开发人员变动,无法重启;被攻击 删库等)
受众
编码规范的读者是一线开发人员,因此以研发人员方便阅读为主,比如安全相关规定,尽可能以易读为主,减少难懂的专业术语
这点真的非常重要,很多公司的编码规范都写成了摆设,因为研发人员无法理解,最终放弃遵守,需要安全与研发不断的摩擦
怎样实现研发易度,没有特别好的办法,每个公司甚至每个部门的研发水平都存在差异,基本路线,就是安全认可后,在找研发负责人确认,提供修改建议,然后在找中高级研发工程师确认,保证大部分人能够看懂就已经是很大的进步,在最终实施后,需要不断的修订和完善。
内容
具体内容来看,需要进行分层,有两个维度:
整体文档方面
类似公司整体制度体系,包括安全策略、制度、规范、操作记录
安全开发制度也应该这样,有一层具体的制度,不需要太长,可能只是几条规定,可以参考阿里巴巴 java开发手册 第四章安全规约内容。这层其实是一个意识层面的,形成安全开发统一的红线。
细节
研发是分很多等级,高中低,还可能是应届生,不能每个研发都能完全理解,安全编码制度,因此需要一个详细介绍文档,比如华为 java开发规范http://www.github5.com/view/435 这样的,每个漏洞都从原理,样例,解决方案进行分析,让任何等级的研发人员都能看懂,明白
比如阿里巴巴 java开发手册 http://www.github5.com/view/437 以 Java 开发者为中心视角,划分为编程规约、异常日志、单元测试、安全规约、MySQL 数据库、工程结构、设计规约七个维度,再根据内容特征,细分成若干二级子目录。另外,依据约束力强弱及故障敏感性,规约依次分为【强制】、【推荐】、【参考】三大类。在延伸信息中,“说明”对规约做了适当扩展和解释;“正例”提倡什么样的编码和实现方式;“反例”说明需要提防的雷区,以及真实的错误案例。
这样的例子就比较好,看的人都比较清楚,并且每个等级通过颜色进行区分
261
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
