人工静态方法
- 代码走查
- 结对编程
- 同行评审(提交到git后,同事审核。最常用)
自动静态方法
自动静态方法,主要有以下三个特点:
- 相比于编译器,可以做到对代码更加严格、个性化的检查;
- 不真正检测代码的逻辑功能,只是站在代码本身的视角,基于规则,尽可能多地去发现代码错误;
- 由于静态分析算法并不实际执行代码,完全是基于代码的词法分析、语法分析、控制流分析等技术,由于分析技术的局限性以及代码写法的多样性,所以会存在一定的误报率
CI/CD
目前,自动静态扫描通常都会和持续集成的流水线做绑定,最常见的应用场景是当你递交代码后,持续集成流水线就会自动触发自动静态扫描,这一功能是通过 Jenkins 以及 Jenkins 上的 SonarQube 插件来完成的,当你在 Jenkins 中安装了 SonarQube Plugin,并且将 SonarQube 服务器相关的配置信息加入 Plugin 之后,你就可以在 Jenkins Job 的配置中增加 Sonar 静态扫描步骤了。
扫描工具:
- sonar 支持java等语言(可以自定义规则)
- pylint 支持Python
