这篇文章由Kirti Joshi、Nicolas Bontoux和SonarSource撰写,主题是如何为你的Python应用程序提供干净和安全的代码。
介绍
当今的开发者承担着巨大的责任——他们不仅要解决行业中一些最大的挑战,而且还要在一开始就提供最高代码质量和安全标准的解决方案。
这里强调的成功故事展示了为什么静态代码分析工具在提高代码质量和安全性方面至关重要,以及它们如何帮助Python社区在一些著名的开源Python项目中识别(并修复)错误和漏洞。
不断增长的技术债务和安全担忧
随着Python应用程序在新的和创新的用例中迅速增长,开发团队面临着越来越大的压力,要求他们按时交付项目——通常,这会导致代码的可靠性、可维护性和安全性被搁置一边。这样做不仅会积累长期的技术债务,而且可能在代码库中留下巨大的安全漏洞。
为了在开发过程的早期捕捉问题(左移方法),团队通常对新的和先进的工具感兴趣,以确定它们是否适合他们的工作流程,是否足够直观,并帮助他们实现这一目标。幸运的是,有许多工具和工作流程可以帮助Python用户。实际上,Python生态系统中充满了linting和静态分析工具(例如PyLint、Flake8、Bandit、PyT、PySa等),大多数Python开发者已经在使用其中一个或多个。
在SonarSource,我们非常熟悉开发社区的需求(和痛点)。事实上,我们相信只有开发者才能对代码质量和代码安全性产生可持续的影响。这就是为什么我们构建开源和商业代码分析器——SonarLint、SonarCloud、SonarQube,使命是赋予团队在其现有工作流程中解决编码问题的能力。在这一使命中,我们也承担着巨大的责任