隨著數(shù)字經(jīng)濟的快速增長，應(yīng)用數(shù)量激增，軟件已無處不在。凡是軟件都可能存在缺陷(Bug)，缺陷遺留到現(xiàn)網(wǎng)就可能產(chǎn)生問題，軟件問題輕則影響工作生活體驗，重則產(chǎn)生巨額經(jīng)濟損失，甚至危及生命安全。例如，1996年阿麗亞娜 5 號火箭在首次發(fā)射后的37秒即激活了自毀裝置。事后查明，事故原因就在于一個小小的代碼整型溢出缺陷。

因此，如何守護好軟件質(zhì)量，并持續(xù)守護存量代碼質(zhì)量、開發(fā)高質(zhì)量的代碼是企業(yè)面臨的巨大挑戰(zhàn)。在這個過程中，代碼檢查工具是眾多企業(yè)降低損失的有效手段。在上面的例子中，如果在開發(fā)階段及早引入代碼檢查工具，事前發(fā)現(xiàn)問題并及時修復(fù)，或許可避免近數(shù)十億美元的損失。

代碼檢查工具是低成本守護代碼質(zhì)量的最優(yōu)選擇

軟件專家卡珀斯·瓊斯在其著作《Applied Software Measurement》中明確指出：“85%的軟件缺陷發(fā)生在編碼階段，后端測試修復(fù)缺陷的成本是開發(fā)階段40倍”。業(yè)界實踐經(jīng)驗也表明，在軟件生命周期中缺陷發(fā)現(xiàn)越早、修復(fù)越早，缺陷的影響和修復(fù)代價就越小。

代碼檢查工具能夠自動化地攔截代碼質(zhì)量和安全問題，確保編程規(guī)范落地，有效守護軟件產(chǎn)品質(zhì)量安全，因此在業(yè)界已得到廣泛實踐。中國企業(yè)對代碼質(zhì)量的重視也在持續(xù)提升，云計算開源產(chǎn)業(yè)聯(lián)盟《中國 DevOps現(xiàn)狀調(diào)查報告2022》指出，應(yīng)用自動化代碼掃描的企業(yè)占比已超七成。

值得關(guān)注的是，在這一市場趨勢下，國產(chǎn)軟件工具仍需快速自主創(chuàng)新。Gartner 2021年AST魔力象限報告指出，目前占市場主導(dǎo)地位的代碼檢查工具多數(shù)來自國外企業(yè)，雖然近幾年國產(chǎn)代碼檢查工具發(fā)展迅猛，但與行業(yè)領(lǐng)導(dǎo)者仍然存在差距，亟需加快研發(fā)完全自主的代碼檢查工具，以應(yīng)對國內(nèi)軟件企業(yè)蓬勃發(fā)展所需。

高質(zhì)量代碼的華為實踐

華為早在1998年就開始引入商用代碼檢查工具，由開發(fā)團隊按需進行代碼質(zhì)量檢查。從按需使用、有序規(guī)范、到代碼安全可信，華為持續(xù)投入數(shù)千萬美元，攻克了靜態(tài)分析技術(shù)檢查準確性、效率等難題。基于30多年的研發(fā)經(jīng)驗與全球市場驗證，華為在產(chǎn)品開發(fā)質(zhì)量和可信方面沉淀了系列化的開發(fā)工具與能力，并隨著軟件全面云化、智能化等新趨勢不斷演進。在這個過程中，華為總結(jié)出高效開展代碼檢查活動的五大理念：

第一、構(gòu)建文化

在研發(fā)過程中，華為基于對好代碼的解讀和追求，結(jié)合業(yè)界先進實踐、專家學(xué)術(shù)研究和ISO標準，提出了華為的CleanCode主張，旨在滿足功能正確的前提下，打造具有可讀、可維護、安全、可靠、可測試、高效、可移植七大特征的高質(zhì)量代碼，建立人人編寫CleanCode代碼的軟件文化。

第二、規(guī)范先行

代碼檢查需要“有章可循”。“章”即統(tǒng)一完備的編程規(guī)范，不僅界定了編碼風格，更明確定義了哪些代碼的寫法會造成質(zhì)量和安全風險。好的規(guī)范是檢查引擎的能力標尺，為助力開發(fā)人員打造“好代碼”，華為針對每類編程語言，參考業(yè)界規(guī)范并基于自身實踐總結(jié)，輸出了覆蓋代碼風格、質(zhì)量、安全等各方面要求的統(tǒng)一編程規(guī)范。

第三、統(tǒng)一引擎

為了兼顧代碼檢查的質(zhì)量和效率，華為積極投入關(guān)鍵技術(shù)攻關(guān)，構(gòu)建了自主創(chuàng)新的檢查引擎，幫助用戶在一次掃描中即可針對代碼的七大質(zhì)量特征進行全面分析。同時該引擎具備良好的擴展性，支持將多種檢查引擎匯聚在一個服務(wù)，用戶一次掃描、讀取一份報告，即可完成代碼檢查工作。

第四、三級檢查

代碼檢查需要從全流程對代碼入庫進行守護，快速反饋給開發(fā)人員。為此，在編碼、入庫、版本發(fā)布三個階段需要配置不同的檢查規(guī)則，兼顧檢查時間與檢查能力，將缺陷攔截在前端：

1.IDE級檢查，部署在開發(fā)IDE桌面，針對本地待提交代碼;

2.MR門禁級檢查，部署在MR階段，針對待合入分支的變更文件做分析;

3.版本級檢查，部署在發(fā)布階段，針對待發(fā)布的主干或分支全量代碼。

第五、三層運營

不同產(chǎn)品對于代碼檢查規(guī)則的選擇存在差異，需要遵從公司要求，同時根據(jù)產(chǎn)品進行定制增強。通過建立公司、產(chǎn)品線、產(chǎn)品三層的運營體系，可實現(xiàn)代碼檢查在不同產(chǎn)品的有效落地和分層管控，牽引全公司參與能力建設(shè)。

基于以上五大核心理念，經(jīng)過多年的沉淀和實踐，華為自主研發(fā)了代碼檢查工具，已服務(wù)華為超過15萬開發(fā)人員，日均掃描500億行代碼，支撐華為產(chǎn)品和解決方案在170多個國家和地區(qū)持續(xù)安全穩(wěn)定運行，贏得全球企業(yè)客戶信任。

華為云CodeArtsCheck服務(wù)，全面守護軟件質(zhì)量和安全

1月12日，華為云正式對外發(fā)布CodeArts Check代碼檢查服務(wù)，支持海量源代碼的風格、質(zhì)量和安全檢查，可實現(xiàn)百億行大規(guī)模并行掃描，并提供完善的修改指導(dǎo)和趨勢分析，幫助企業(yè)有效管控代碼質(zhì)量。

特性一、自研代碼檢查引擎，全面評估代碼質(zhì)量七特征

代碼檢查服務(wù)的核心是代碼檢查引擎。高效精準的代碼檢查引擎可幫助用戶在開發(fā)早期快速、準確地發(fā)現(xiàn)代碼問題，兼顧開發(fā)效率與產(chǎn)品質(zhì)量。華為云CodeArts Check代碼檢查引擎目前已覆蓋業(yè)界主流開發(fā)語言，可針對代碼的可讀、可維護、安全、可靠、可測試、高效、可移植七大方面進行全面分析，并融合華為對代碼質(zhì)量及可信度能力的實踐與思考，不斷演進和豐富檢查規(guī)則。

特性二、支持五大業(yè)界主流標準和華為編程規(guī)范，提升產(chǎn)品代碼規(guī)范度

軟件產(chǎn)品的質(zhì)量問題往往會導(dǎo)致產(chǎn)品產(chǎn)生難以預(yù)測的運營風險或成本風險，建立源代碼級別的質(zhì)量檢測措施標準就尤為重要。華為云CodeArts Check可以對企業(yè)研發(fā)代碼進行全面質(zhì)量檢查，支持快速篩選已識別的編程規(guī)范問題;支持ISO 5055、CERT、CWE、OWASP TOP 10、CWE/SANS TOP 25等業(yè)界主流編程標準和優(yōu)秀實踐，并內(nèi)置華為終端、網(wǎng)絡(luò)、云計算、芯片等產(chǎn)品多年研發(fā)經(jīng)驗總結(jié)的編程規(guī)范，可幫助用戶快速復(fù)制業(yè)界優(yōu)秀實踐，確保產(chǎn)品代碼符合業(yè)界標準和規(guī)范，支撐合規(guī)準入。

特性三、支持主流開發(fā)語言，內(nèi)置7000+檢查規(guī)則，便于用戶開箱即用

華為云CodeArts Check支持C/C++、Java、Python、GO、JavaScript、CSS、HTML、PHP、C#、Android等市場主流開發(fā)語言，滿足嵌入式、云服務(wù)、WEB應(yīng)用、移動應(yīng)用等開發(fā)場景所需。同時，華為云CodeArts Check已內(nèi)置多款開源工具與自研引擎，可提供超過7000條豐富的檢查規(guī)則;并梳理各類場景需要，內(nèi)置全面檢查規(guī)則集、關(guān)鍵檢查規(guī)則集、移動領(lǐng)域規(guī)則集、華為編程規(guī)范規(guī)則集等10余個規(guī)則集，便于用戶開箱即用;企業(yè)用戶也可基于規(guī)則庫，定制滿足業(yè)務(wù)場景個性需求的檢查規(guī)則集。

特性四、日均百億級掃描能力，支持大型企業(yè)超大規(guī)模代碼檢查

華為云CodeArts Check具備強大的高并發(fā)處理能力，支持華為內(nèi)部日均30萬次高頻代碼檢查，掃描規(guī)模達到500億行。針對基礎(chǔ)設(shè)施導(dǎo)致的服務(wù)中斷風險，華為云CodeArts Check可通過AZ容災(zāi)、跨region級容災(zāi)多活，支持過載保護、服務(wù)依賴和隔離等一系列高可用技術(shù)，實現(xiàn)服務(wù)故障自探測、自隔離、自恢復(fù)，為大型應(yīng)用研發(fā)團隊提供可靠支持。針對代碼檢查業(yè)務(wù)量波峰波谷落差明顯的特征，華為云CodeArts Check通過強大的彈性調(diào)度能力，能夠快速高效地調(diào)配資源，滿足業(yè)務(wù)所需，確保業(yè)務(wù)高峰零等待。

特性五、一站式問題閉環(huán)修復(fù)，問題修復(fù)效率倍增

開發(fā)使用代碼檢查工具時，往往容易遇到問題分析和修復(fù)成本高等挑戰(zhàn)，例如工具問題不易理解、問題分到具體開發(fā)人員費時費力、多版本情況下重復(fù)處理同一告警令開發(fā)人員厭倦等，影響開發(fā)團隊對檢查工具的使用積極性。華為云CodeArts Check內(nèi)置編程規(guī)范說明、正確示例、錯誤示例和修復(fù)建議，能夠讓問題精準定位到行并提供修復(fù)指導(dǎo)，以提高問題分析效率;可自動根據(jù)代碼提交信息匹配問題責任人，通過IDE插件提供自動修復(fù)能力，提升問題修復(fù)效率;支持自動同步已處理的忽略問題、對于經(jīng)過審視判定為不需要處理的問題，同一代碼倉庫只需處理一次。得益于修復(fù)指導(dǎo)、自動修復(fù)、結(jié)果自動繼承這三大能力，華為云CodeArts Check能夠讓檢查問題處理和修復(fù)的效率提升100%。

特性六、“代碼編寫-代碼合并-版本發(fā)布”三層缺陷防護，兼顧效率與質(zhì)量

優(yōu)秀的代碼開發(fā)實踐，往往要求代碼檢查與開發(fā)作業(yè)流的融合統(tǒng)一，在用戶代碼編寫、代碼提交時，同步自動化審計檢查，并對團隊每日產(chǎn)出的代碼進行持續(xù)的編程規(guī)范和質(zhì)量檢查。這一技術(shù)要求，也已成為安全開發(fā)過程SDL、DevSecOps等眾多優(yōu)秀開發(fā)模式推薦進行的實踐要求。

華為云CodeArts Check提供了豐富的API接口，提供IDE代碼檢查插件，與代碼倉協(xié)同支持代碼提交時自動檢查，與流水線協(xié)同支持軟件全量代碼檢查，三層防范代碼缺陷引入。“快車道”精準、快速檢查前移，頻繁檢查，對開發(fā)人員干擾最小;“慢車道”全面、深度檢查夜間進行，防止代碼檢查遺漏。

在服務(wù)好華為內(nèi)部軟件代碼質(zhì)量保障的同時，華為云CodeArts Check已經(jīng)服務(wù)能源、物流等企業(yè)及新聞媒體，幫助其管控代碼質(zhì)量。例如，中國經(jīng)濟信息社面臨多個軟件ISV廠商研發(fā)標準不統(tǒng)一、質(zhì)量很難統(tǒng)一保障等困難。通過華為云CodeArts Check，中經(jīng)社應(yīng)用3000+編程規(guī)范規(guī)則，統(tǒng)一研發(fā)標準，提升研發(fā)效率，將質(zhì)量活動從后端測試延伸到開發(fā)階段，進行代碼規(guī)范和安全檢查，實現(xiàn)代碼缺陷檢查前移，研發(fā)交付質(zhì)量提升50%。

為解決開發(fā)團隊首次使用代碼檢查，存量代碼檢查問題多、修復(fù)成本高的困難，華為云CodeArts Check研發(fā)團隊著力研究代碼檢查問題的自動修復(fù)，并在華為內(nèi)部催熟使用。面向未來，華為云將持續(xù)通過CodeArts Check服務(wù)，把華為優(yōu)秀的代碼質(zhì)量管理經(jīng)驗與工具能力，如代碼安全檢查能力、自動修復(fù)能力、平臺靈活集成與擴展等，以云服務(wù)的方式共享開放給廣大企業(yè)與開發(fā)者。同時，華為云將繼續(xù)攜手國內(nèi)客戶、伙伴與開發(fā)者，共建代碼編程標準，共同建設(shè)開放的技術(shù)生態(tài)，助力業(yè)界軟件代碼質(zhì)量不斷提升，打造新一代開放、可信、高質(zhì)量的現(xiàn)代軟件生態(tài)。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）