Loading AI tools
来自维基百科,自由的百科全书
代码审查是指对电脑源代码系统化地审查,常用软体同行评审的方式进行,其目的是在找出及修正在软体开发初期未发现的错误,提升软件质量及开发者的技术。代码审查常以不同的形式进行,例如结对编程、非正式的看过整个程式码,或是正式的软件检查[1]。
借由代码审查可以找到及移除像是格式化字串攻击、竞争危害、内存泄漏及缓存溢出等计算机安全隐患,因此提升代码的安全性。基于Subversion(可能是Trac或是Redmine)、Mercurial、Git或其他软体的线上软体库可以允许协同审查代码,而且有些协同代码审查工具可以简化代码审查的过程。
自动化代码审查软体可以系统化的检查源代码中是否有已知的计算机安全隐患,可以减少大量代码审查的工作。
卡珀斯·琼斯(Capers Jones)分析了超过12,000个软件开发项目,其中使用正式代码审查的项目,潜在缺陷发现率约在60-65%之间,若是非正式的代码审查,潜在缺陷发现率不到50%。大部份的测试,潜在缺陷发现率会在30%左右。[2]。
一般的代码审查速度约是一小时150行程式码,对于一些关键的软体(例如安全关键系统的嵌入式软体),一小时审查数百行程式码的审查速度太快,可能无法找到程式中的问题[3][4]。代码审查一般可以找到及移除约65%的错误,最高可以到85%[5]。
也有研究针对代码审查找到的缺陷类型进行分析。代码审查找到的缺陷中,有75%是和计算机安全隐患有关。对于产品生命周期很长的软体公司而言,代码审查是很有效的工具[6] [7]。
代码审查一般会分为三类:正式的代码审查、结对程式设计、以及轻量型的非正式代码审查[1]。
正式的代码审查(例如范根检查法)有审慎及仔细的流程,由多位参与者分阶段进行。正式的代码审查是传统审查代码的方式,由软体开发者参加一连串的会议,一行一行的审查程式码,一般会使用列印好的源代码。正式的代码审查可以彻底的找到程式中的缺陷,但需要投入许多的资源。
结对程式设计是两个程式设计师在一个电脑上共同工作,一个输入程式,另一个工程师审查他或她所输入的程式,结对程式设计是在极限编程中常见的开发方式。
轻量型的非正式代码审查需要投入的资源比正式的代码审查要少,一般会是在正常软体开发流程中同时进行,有时也会将结对程式设计视为轻量型代码审查的一种。
书籍Best Kept Secrets of Peer Code Review中曾提到有关代码审查的案例研究,这个研究发现轻量型代码审查所找到的缺陷会比正式的代码审查要少,但其速度较快,其成本也较低。
以往正式的代码审查在审查的准备及进行时都需要投入许多的资源。
代码分析工具的使用可以协助代码审查。尤其是一些整合在整合开发环境(IDE)下的工具,可以直接提供程式开发者有关编程标准相容的回馈。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.