从代码的质量左移讲起
所谓质量左移是指代码在测试之前,在编码阶段就已经介入了代码的质量检测,提前发现并修复代码问题,有效减少测试时间,提高研发效率,发现BUG越晚,修复的成本越大。
源代码作为软件的最初原始形态,其安全缺陷是导致软件漏洞的直接根源。因此,通过静态方法分析发现源代码中的安全缺陷是降低软件潜在漏洞的重要方法。
代码保障,保障的是什么?
代码保障的三个核心:代码缺陷,代码安全,代码规范。
所谓代码缺陷,即为代码中存在的某种破坏正常运行能力的问题、错误,或者隐藏的功能缺陷。IEEE729-1983对缺陷有一个标准的定义:从产品内部看,缺陷是软件产品开发或维护过程中存在的错误、毛病等各种问题;从产品外部看,缺陷是系统所需要实现的某种功能的失效或违背。
代码安全方面,当今互联网安全形势严峻,2020年上半年,国家信息中心安全漏洞共享平台(CNVD)所收录的漏洞总数为7780,较2019年上半年增加1377个,同比增长17.7%,收录总数达到历史新高。其中包括高危漏洞高达2609个(占33.7%,同比增长8.9%)。
代码规范方面,团队统一代码规范,有助于提升代码可读性以及工作效率,但是现实中研发团队缺乏工具审核规范,缺乏整改规范的示范用例,造成管理代码规范执行起来效果往往是事倍功半。
质量左移最佳方案-静态代码扫描
现如今,日常业务的代码保障工作在生产