在項目開發(fā)之初��,往往會制定一個代碼編寫的規(guī)范��,實際上���,這個代碼規(guī)范就包含了整個項目組的代碼風(fēng)格。由于軟件開發(fā)人員的設(shè)計習(xí)慣不同����,如果不統(tǒng)一代碼風(fēng)格,一個項目中的代碼將五花八門���,如變量和常量的命名���、接口與實現(xiàn)類的注釋、何時回車����、怎樣縮進等等。一個五花八門的設(shè)計風(fēng)格���,必將為日后的維護與改進帶來困難�����。
通過代碼審查��,一方面督促開發(fā)人員按照規(guī)范編寫代碼�,另一方面也使開發(fā)人員自身形成良好的編程習(xí)慣。代碼風(fēng)格的審查���,由于內(nèi)容比較單一�����,常?����?梢酝ㄟ^一些代碼復(fù)查的工具來自動完成�,提高復(fù)查的效率�。
代碼審查應(yīng)當(dāng)著重注意的重大缺陷,它們包括:存在SQL注入�����、易受跨站點腳本攻擊、緩存區(qū)溢出�����、托管代碼等等���。項目組可以不斷積累重大缺陷的審查項目���,并在每次審查中逐一檢查��。重大缺陷審查是一個繁瑣而細致的工作�����,如果能編寫或使用一些審查軟件�����,可以大大提高審查效率���。
審查是代碼復(fù)查中最核心���、最有價值的部分�����。代碼風(fēng)格與重大缺陷的審查���,雖然重要但簡單而機械,可以通過軟件自動檢查�;而設(shè)計邏輯與思路的審查,卻是復(fù)雜而有深度的審查���,需要有一定理論深度和編碼經(jīng)驗的人才能完成���。
靜態(tài)代碼分析工具CA在掃描源代碼時對安全規(guī)范子集中定義的規(guī)則進行逐條檢查,用戶可以通過自己的需求選定規(guī)則����,并制定問題的嚴重程度,如果發(fā)現(xiàn)有不符合項則報告在問題列表中��,用戶可通過行號�、列號精確定位問題,除此之外CA還為用戶提供修改建議�。
推薦閱讀:
50多家公司源代碼被泄露究竟是為何?微軟、高通竟也在其中
想要了解代碼靜態(tài)分析技術(shù)���,這些知識不可錯過
Java靜態(tài)代碼掃描怎么做���?Java靜態(tài)代碼掃描工具的使用方法
為什么要進行代碼檢查?靜態(tài)代碼分析工具的優(yōu)勢有哪些
代碼審查和代碼走查的區(qū)別及代碼審查在軟件開發(fā)生命周期中的作用
如何進行代碼審查���?代碼審查工具都有哪些�����?
本文內(nèi)容不用于商業(yè)目的����,如涉及知識產(chǎn)權(quán)問題���,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理�,馬上刪除。
sales@spasvo.com
