干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

这篇具有很好参考价值的文章主要介绍了干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

作者简介

Lyan,携程资深后端开发工程师,负责自动化测试框架及平台类工具开发,关注Devops、研发效能领域。

一、背景

随着敏捷开发,DevOps开发模式的流行,代码质量分析作为研发质量保证体系的重要组成部分,不仅能有效的降低因频繁迭代带来的故障风险,而且对整个工程团队的效能提升有着巨大的价值。

携程很久以前就已经开始进行DevOps的建设,通过Gitlab CI/CD在开发提交代码触发的流水线pipeline中引入静态扫描、单元测试、集成测试等流程,在开发过程中打造了一套闭环的代码质量保障体系。其中,在静态代码分析阶段引入了SonarQube,并且通过对原有SonarQube代码规范库中的规范进行筛选和扩展,形成了自己的代码规范库。但是在实际应用过程中,我们发现仍然有一些问题需要优化解决:

  • 在开发过程中,代码规范只能通过开发人员自我约束,缺少统一的平台对各应用代码的潜在风险问题统一进行分析,且问题难以定位到开发人员进行治理。

  • 代码单元测试通过率和代码覆盖率都很高,但仍然存在一些在单元测试阶段应被发现的问题未暴露出来,导致上线后出现bug,单元测试用例的质量缺乏有效性及可靠性保证。

  • 随着项目的发展,开发人员为了避免影响已有功能,在开发过程中大量复制粘贴,导致出现很多难以维护的重复代码,且程序逻辑结构过于复杂,修改逻辑牵一发而动全身,可维护性差。

  • 代码中充斥着大量的sql拼接,以及一些不规范的写法导致潜在的问题,需要对此类代码进行治理。

二、平台介绍

Alchemy平台是一个代码质量分析平台,提供Infer分析、代码分析、自定义扫描、代码搜索等功能,其中代码质量分析内容包含代码行,sonar问题, infer问题,UT规则,重复代码以及圈复杂度等。用户可以根据自己的需求在平台上进行扫描项配置,并查看应用的代码质量分析结果。

为了及时获得对提交代码变更的质量反馈,作为DevOps中重要的一环,Alchemy平台与Gitlab CI/CD相结合,将静态代码分析提前至开发提交或合并代码阶段。开发人员提交代码至Gitlab,触发流水线相关任务执行,任务执行完成之后可以对某些指标(如增量代码引入的空指针)设置红线进行卡点,如果指标在指定范围内,允许合并代码并发布,如果指标超过了红线设置范围,则不允许合并代码,开发人员修复问题后再次提交代码进行流水线的集成发布。扫描分析结果可以在Gitlab或者Alchemy平台上展示,帮助开发人员在快速迭代的同时保证代码质量。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

静态代码扫描流程

三、系统架构

Alchemy平台包含Alchemy-client、Alchemy-service和Alchemy-web。其中,Alchemy-client为扫描脚本,包含Infer分析,UT扫描,重复代码扫描、自定义扫描等功能,集成到Docker镜像中,Alchemy-service提供数据存储、分析等后台服务,且依赖代码搜索服务CodeSearch-Service实现代码搜索功能,Alchemy-web负责页面交互。

开发人员提交代码,触发Gitlab CI/CD中静态代码分析job在GitRunner中执行,执行时先从Docker仓库下载镜像,启动容器后执行Alchemy-client脚本,脚本会根据平台配置来执行相应的扫描任务,扫描完成后,将结果上传至Alchemy-service,存储到mongodb数据库,最终在前端页面展示分析结果。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

Alchemy架构图

四、功能

4.1 Infer分析

Infer是Facebook出品的一个静态分析工具,可以分析Java、Objective-c或者C代码,报告潜在的问题,包括空指针,资源泄漏等。Alchemy平台将Infer引入代码静态分析阶段,目前已支持全量和增量分析两种模式。

全量模式需分析应用仓库中的所有代码,能分析出所有代码引入的潜在问题,对于代码量较大的应用,由于需要分析所有代码文件,扫描时间比较长,在一定程度上影响开发发布进度,且对未修改的代码进行了非必要的重复分析,在代码修改量较少的情况下造成资源浪费。因此,我们尝试加入缓存机制,并引入了增量分析模式,增量模式需要获取本次提交修改的文件,在分析阶段只针对这些改动文件进行分析,能大大节省分析时间。Infer分析流程如下:

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

Infer分析流程图

在分析过程中,首先判断是否为第一次分析,如果没有分析历史记录,则系统默认采用全量模式,否则需判断Infer扫描配置,若配置为全量模式,则分析此代码工程的全部文件,若配置为增量模式,需获取此次提交修改的文件列表,编译过程完成之后,在分析阶段指定文件列表进行分析。获取到分析出的问题列表后,判断问题所在的行是否为修改行,如果是,则记录为本次修改导致的新增问题,否则为历史遗留的全量问题。

在实际应用中,针对封装的判空方法,通过添加@TrueOnNull或@FalseOnNull注解,可识别对象的判空操作。但对于第三方包的判空方法,如CollectionUtils.isEmpty(), 由于未添加注解,即使添加判空方法,仍会被误识别为空引用。因此,Alchemy平台加入了忽略操作,针对此类问题进行二次确认,避免重复误判。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

Infer误判结果

4.2 UT规则扫描

单元测试是DevOps流程中一个非常重要的环节,我们可以利用通过率和代码覆盖率等指标来衡量单元测试用例的完整程度,却很难保证用例的有效性。阿里巴巴java开发手册规定,单元测试不允许使用System.out来进行人肉验证,必须使用断言assert来验证。

在实际的开发过程中,开发人员把主要的时间用在写业务逻辑代码上,在编写单元测试用例时,往往容易忽略对结果的验证,虽然通过率和代码覆盖率很高,但上线后仍然出现未对接口结果进行验证而导致严重问题的情况。无效的单元测试用例包含以下几种:

  • 空函数:函数体为空;

  • 空断言:用例中实现了对被测接口的调用逻辑,但未对接口返回结果进行验证;

  • 伪断言:用例中使用类似assertTrue(True)的假断言。

通过扫描空断言、空函数、伪断言等问题,能判断该用例是否对代码逻辑进行必要的验证。Alchemy平台支持单元测试用例的有效性验证,目前,平台支持Java、Kotlin、Groovy和Nodejs,同时也支持全量和增量2种扫描结果,全量结果即为所有测试用例中不满足规则的用例,增量结果为本次提交修改的测试用例中不满足规则的用例。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

UT扫描流程

对单个单元测试文件的扫描流程如图。首先根据文件后缀判断语言类型,然后根据不同语言类型规则获取该文件中的用例信息,包含case名称、起止行、作者、最近修改时间、函数内容等,针对函数内容,先判断用例是否有断言,如果有,则判断是否为伪断言,如果未断言或者被判为伪断言,还需进一步根据用例的起止行,结合本次提交的改动信息,分析该用例是否为增量改动的用例,如果是则标记为增量问题,最后将结果推送给gitlab,在合并代码或发布时根据红线配置进行卡点。扫描结果如图所示。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

UT扫描结果

4.3 重复代码扫描

重复代码即为重复或近似的代码,在开发过程中,开发人员为了避免影响现有功能,使用复制粘贴快速完成开发任务,导致出现大量的重复代码。重复代码不仅让代码量大增,造成编译速度慢,而且占用大量存储空间,如果想要修改其中一段代码逻辑,则需要同时修改多个地方,容易遗漏,可维护性差。

当前市面上有很多代码检测工具,如Simian,PMD-CPD,CloneDR等,由于在实现算法上有所不同,不同工具所能检测的重复代码类型也不尽相同。我们利用PMD-CPD扫描代码仓库,可以检测出单文件或多个文件中除了空格、注释、换行以及变量名以外内容完全一致的代码段信息,这些信息包含文件路径、代码段内容、起止行以及作者信息,详情结果如图所示。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

重复代码详情结果

4.4 自定义规则扫描

Alchemy支持对自定义规则的扫描,通过配置自定义正则表达式和扫描范围,识别代码文件中满足配置规则的代码段,可用于扫描代码中的拼接SQL,敏感词等,并且可将不合规的代码定位到相关开发人员。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

自定义扫描流程

单个文件扫描流程如图,首先判断文件是否在扫描范围内,若不在则直接跳转扫描下一个文件,否则读取文件内容,同时根据文件类型获取对应的自定义规则,匹配满足规则的代码段信息,包含代码段内容、严重程度、起止行、作者等。在某些场景下,需要设置子规则进行二次匹配,比如扫描update未指定where条件的sql语句,可先根据规则找到update语句,然后根据子规则判断是否带where条件,最终记录二次匹配的结果。

4.5 代码分析

使用不同工具统计的代码质量指标可能分散在不同的平台,对这些指标进行全面分析的过程中难免会有所遗漏,特别是对于未设置发布卡点的指标,开发人员可能并不会关注它们,导致代码存在大量的潜在问题未被分析治理。

Alchemy代码分析模块可以对代码不同维度的指标进行统计分析,包括代码行、单元测试、infer问题、Sonar问题、重复代码、圈复杂度等。用户可以在代码分析页面查看各维度问题分布情况,从而对项目的整体风险指标进行更全面的分析,可以根据问题的严重程度设置优先级进行针对性的治理。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

代码分析结果

4.6 代码搜索

在开发过程中,对于一些公共操作如中间件的使用方式,开发人员可能需要四处寻找接入文档。Alchemy提供代码搜索功能,可以帮助开发人员根据关键词来查找收录项目中的代码使用示例,用户可以根据项目仓库、代码语言以及作者等条件进行细分查询。在编码过程中,命名规范是一个容易被忽视的问题,使用Alchemy的变量命名功能,用户可以根据不同语言,搜索中英文关键词来获取推荐的规范命名参考,能极大地提高开发效率。

干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台

代码搜索结果

五、结束语

在本文中,我们介绍了Alchemy平台提供的代码静态分析,代码探索以及通过与Gitlab CI/CD集成带来的持续集成能力,可以在开发阶段暴露出更多的代码潜在问题和风险,并及时反馈给相关人员。目前携程酒店已接入项目800+,且在开发提交代码和发布阶段将分析的潜在问题接入了卡点流程。在后续的工作中,我们将从以下几个方向进行进一步的优化:

  • 在代码分析层面支持更多语言;

  • 开发IDE插件,在编码阶段实时扫描代码;

  • 继续深挖代码风险指标,并引入评估机制。

【推荐阅读】

  • 质量保障新手段,携程回归测试平台实践

  • 携程机票前台Trace系统的演进之路

  • AREX-携程无代码侵入的流量回放实践

  • 携程机票BDD UI Testing框架 - Flybirds

 “携程技术”公众号

  分享,交流,成长文章来源地址https://www.toymoban.com/news/detail-410632.html

到了这里,关于干货 | 提前在开发阶段暴露代码问题,携程Alchemy代码质量平台的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 干货 | 携程客服机器人ASR引擎的负载均衡实践

    作者简介 玉修,携程技术专家,专注于电话音视频通信、智能客服机器人等领域。 一、前言 携程拥有庞大的呼叫中心,涉及上万客服人员,覆盖机票、酒店、火车票、度假等产线的售前售后业务,每天的电话业务量超百万通。近年来,通信技术、人工智能技术和智能终端等

    2024年02月03日
    浏览(44)
  • 干货 | 成本低误差小,携程基于 Kafka 的 Serverless 延迟队列的实践

    作者简介 Pin,关注 RPC、Service Mesh、Serverless 等云原生技术。 一、背景 随着上云项目的不断推进,大量的应用需要部署到 aws 上,其中有很多应用都依赖延迟队列的功能。而在 aws 上,我们选择以 Kafka 作为消息队列,但是 Kafka 本身不支持延迟队列,这就需要思考如何基于

    2024年02月13日
    浏览(48)
  • 如何使用Alchemy开发NFT智能合约(ERC721)

    使用Solidity开发智能合约并在区块链上部署可能一开始听起来有些吓人:Solidity、安全性、gas优化、开发环境和gas费用,这些只是你需要了解的一些事情,才能让你的代码托管在区块链上。不用担心,我们来帮你梳理一下。 不过,幸运的是,在过去几个月中,已经发布了许多工具,让开发人员可以更轻松地进行智能合约开发工作。

    2024年02月06日
    浏览(50)
  • 【两阶段鲁棒优化】利用列-约束生成方法求解两阶段鲁棒优化问题(Python代码实现)

    💥💥💞💞 欢迎来到本博客 ❤️❤️💥💥 🏆博主优势: 🌞🌞🌞 博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️ 座右铭: 行百里者,半于九十。 📋📋📋 本文目录如下: 🎁🎁🎁 目录 💥1 概述 📚2 运行结果 2.1 CCGKKT 2.2  CCGSD 2.3  SPKKT 2.4 SDSP 2.5 

    2023年04月15日
    浏览(58)
  • 微信小程序详细教程,两小时零基础注册和使用小程序,并利用Ai引擎真正0代码开发小程序!!!(干货,建议收藏)

    一台电脑 下载并安装微信开发者工具 一个微信扫码登录         随着科技的飞速发展和互联网的普及,微信作为一款社交媒体平台,已经渗透到我们日常生活的方方面面。无论是老年人还是年轻人,无论是城市还是农村,微信的用户群体已经覆盖了各个年龄段和各个社会阶

    2024年02月03日
    浏览(61)
  • 测试篇(四):测试用例的分类、按测试对象划分、按是否查看代码划分、你平时哪种测试方法用的多?、按照开发阶段划分

    界面测试简称UI测试,指按照测面的需求(一般是UI设计稿),和界面设计规则,对我们软件界面所展示的全部内容进行测试和检查,一般包括如下内容: 验证界面内容显示的完整性,一致性,准确性,友好性。比如界面内容对屏幕大小的自适应,换行,内容是否全部清晰展示;

    2024年02月03日
    浏览(66)
  • 业务开发时,接口不能对外暴露怎么办?

    在业务开发的时候,经常会遇到某一个接口不能对外暴露,只能内网服务间调用的实际需求。面对这样的情况,我们该如何实现呢? 今天,我们就来理一理这个问题,从几个可行的方案中,挑选一个来实现。 推荐一个开源免费的 Spring Boot 实战项目: https://github.com/javastacks

    2024年02月12日
    浏览(43)
  • 【问题解决】 网关代理Nginx 301暴露自身端口号

    一般项目上常用Nginx做负载均衡和静态资源服务器,本案例中项目上使用Nginx作为静态资源服务器出现了很奇怪的现象,我们一起来看看。 部署架构如下图,Nginx作为静态资源服务器监听8080端口,客户浏览器通过API网关的443端口(就是https)获取Nginx静态资源。 现象是用户浏览

    2024年02月09日
    浏览(38)
  • SpringBoot项目application配置文件数据库密码上传git暴露问题解决方案

    项目中含有配置文件,配置文件中含有数据库的用户名和密码,上传git直接对外网开放。那后果会怎样可想而知。 jasypt(Java Simplified Encryption)是一个简化的开源 Java 加密工具库 输出 使用很简单,只需要引入jasypt-spring-boot-starter依赖,然后将配置文件中的明文换成\\\"ENC(密文即可)“

    2024年04月14日
    浏览(50)
  • 处理时区问题:解决Element UI日期选择器<el-date-picker>提前8小时显示的实践指南

    在使用Spring Boot + MyBatis-Plus + Vue + Element UI构建毕设时,我们遇到了Element UI日期选择器在处理日期时间时的时区问题,导致显示时间提前了8个小时。这篇实践指南将介绍我们是如何发现并解决这一问题的,并对时区的概念进行简要解释。 使用Element UI的 el-form-item 和 el-date-pic

    2024年01月21日
    浏览(59)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包