隨行付微服務測試之靜態代碼掃描

時間 2019-11-06

原文原文鏈接

靜態代碼掃描爲整個發展組織增長價值。不管您在開發組織中發揮的做用如何，靜態代碼掃描解決方案都具備附加價值，擁有軟件開發中所須要的尖端功能，最大限度地提升質量並管理軟件產品中的風險。javascript

背景前端

微服務架構模式具備服務間獨立，可獨立開發部署等特色，獨立開發誘發了技術上的分離，HTTP通訊增長了問題診斷的複雜度，對系統的功能、性能和安全方面的質量保障帶來了很大的挑戰。java

「數據庫

微服務架構對測試的挑戰編程

微服務架構模式下多個獨立業務服務同時開展開發工做，每一個系統都有各自的業務範圍和開發週期要求，這樣一來，下圖所示的傳統流程中產品經理提供需求，需求人員進行需求分析、開發人員進行開發，最後交給測試人員進行測試的方法，就沒法知足測試覆蓋和測試效率的要求。相對於傳統的單體模式而言，微服務模式下對測試帶來的挑戰總結起來包括如下內容：後端

1. 微服務系統模塊層次化，須要保證模塊內部代碼的質量。這種場景下傳統的端到端的測試沒法知足測試要求；數組
2. 須要保證各個微服務系統內部模塊間的正確性。系統模塊間以及前端和後端一般會同時開展開發工做，模塊間或者先後端經過接口（一般是Restful http接口）進行鏈接，而模塊和後端每每沒有界面，爲了保證各個系統單個依賴系統的正確性，所以須要藉助Mock技術隔離依賴的前提下進行接口級的測試；安全
3. 須要保證微服務系統中的接口一致性，即契約的一致性。須要經過契約測試手段保證契約的正確性，進而保證同步開發過程當中的先後開發的正確性和一致性；服務器
4. 須要保障單個微服務系統的正確性。須要進行組件級的測試進行微服務系統的正確性；多線程
5. 須要保障整個系統的正確性。各個微服務系統串接以後經過端到端的測試保證總體系統的正確性；

「

微服務架構下如何開展測試

針對上面提到的微服務對測試的挑戰，一方面爲了保證在服務各個層級上對微服務進行全面的測試，特別是對於分佈式系統；另外一方面又要確保測試執行的效率，這樣才能保證持續集成/持續交付（CI/CD）。所以，整體的測試策略採用以下解決方法：

1. 開展「質量」文化。讓開發人員創建起代碼「質量」意識，用於保障模塊內部的質量；
2. 採用自動化測試手段。在微服務架構中，開發分解爲負責不一樣服務的多個小組，測試人員每每天天要花費大量的時間，瞭解不一樣團隊的開發進度。若是還須要手動進行迴歸測試（Regression Test），最終將會不堪重負。因此自動化測試在微服務模式下是必須採起的手段。
3. 分層的自動化測試策略。自動化測試分層在Mike Cohn 提出的測試金字塔（Test Pyramid）原理中進行了詳細的闡述。它提倡在代碼級、接口級、應用級進行不一樣粒度的測試來保證系統的質量。從自動化測試投入比例來看，單元測試和靜態代碼掃描的投入比例最大，其次是接口自動化測試，最後是UI自動化測試。同時爲了提升測試效率和測試覆蓋率，功能測試須要藉助探索式測試手段開展測試。

4. 採用流水線技術進行可視化快速反饋。因爲微服務系統很是多，這樣每每會增長了運維和溝通成本，爲了提升溝通效率，須要藉助流水線的技術，可視化查看每個構建（Build）、測試（Test）、部署（Deploy）過程，快速作出質量反饋和處理決策。經過可視化流水線最終能夠實現各個環節的監控，採用DevOps手段打通業務、開發、測試和運維的部門牆。

下面結合分層自動化測試的思想，首先對靜態代碼掃描進行介紹。

靜態代碼掃描

「

靜態代碼掃描背景

靜態代碼分析是指在不運行代碼的方式下，經過詞法分析、語法分析、控制流、數據流分析等技術對程序代碼進行掃描的技術。它的目的是驗證代碼是否知足規範性、安全性、可靠性、可維護性的要求。靜態代碼掃描處於分層自動化測試的最底層，它和單元測試同級別。爲了保證公司代碼的規範性、安全性、可靠性的要求，經過定製公司級的靜態代碼掃描規範、掃描規則和掃描實施流程保證明施高效落地。

「

靜態代碼掃描意義

爲開發者

軟件開發人員最終負責代碼質量。代碼質量是非功能性需求的一部分，所以是開發人員的直接責任。代碼質量不該該存在技術債務，在開發的過程當中每一步都提供反饋，從IDE到發佈。這使得開發人員可以儘早作出有關代碼質量的決策，使他們可以作得更好，並提供質量更好的軟件產品。

爲DevOps

DevOps須要確保軟件的構建方式正確。DevOps中涉及的責任不少，其中包括支持開發流程，自動化測試，確保質量，提升生產力.....並最終實現持續部署。良好的代碼質量是實現全部這些目標的必要條件，儘管不是充分條件。靜態代碼掃描可在任何構建/測試/部署步驟中添加的代碼質量檢驗門檻，可以自動執行一組統一的質量標準，從而確保組織交付更好的軟件。

爲管理者

代碼靜態掃描可下降風險並提升團隊生產力。管理人員須要可以安全地運行軟件，而且須要花費合理的投資回報。咱們的解決方案一目瞭然地顯示了他們面臨的技術債務以及他們緩解的成本。它還具備開箱即用的功能，能夠系統地提升開發團隊的可維護性和長期生產力。這使管理人員可以以最佳成本使用風險控制方法確保其組織可以交付更好的軟件。

「

靜態代碼掃描介紹

靜態代碼掃描處在特性分支開發完成以後，具體的描述以下：

1. 開發人員從Master分支拉取特性分支做爲開發分支；
2. 開發完特性分支後、代碼構建、單元測試、靜態代碼掃描；
3. 經過後合併到Master分支，用於投產；

「

靜態代碼掃描流程

隨行付靜態代碼掃描平臺的具體實現是經過集成SonarQube平臺工具、Jenkins集成工具、IDE SonarLint插件和CheckStyle本地化規則模板等開源工具、插件集而成。實現本地化代碼的實施檢測，版本構建後的二次檢測，以及郵件反饋等功能的流程閉環，保證投產前代碼符合隨行付代碼規範的要求。具體的流程以下圖所示：

1.本地化IDE中經過SonarLint插件實現和SonarQube平臺規則、規範的同步、實現本地代碼檢查；隨行付定製化了java規則、XML規則257條，javascript規則86條，用於檢測代碼的規範性、代碼缺陷、漏洞、壞味道、重複率等信息。並將定製化的規則放到了SonarQube平臺上，SonrLint插件的規則比較全面，包括全部的sonajava規則和javascript規則，爲了保證本地使用定製的規則，且同sonarqube中的規則一致，須要遠程鏈接SonarQube服務器,並綁定項目。以Eclipse爲例，展現SonarQube鏈接和項目綁定過程：

2.代碼提交到代碼庫GitLab中後，在Jenkins中測試環境構建時，自動觸發Sonar掃描，並將掃描結果發佈到SonarQube平臺。下圖爲SonarQube展現的一個項目的結果：

3.SonarQube平臺根據質量閥的要求，不知足質量閥要求則郵件通知開發人員。

質量閥要求：
    1.新覆蓋率大於等於80%；
    2.新增Bugs爲0；
    3.新增漏洞爲0；
    4.新增壞味道爲0；

4.開發人員收到郵件後，進行代碼處理，直到知足規範要求爲止。
5.以周爲單位統計SonarQube平臺中靜態代碼掃描出來的Bugs\漏洞\壞味道的數量，定時自動發送週報給相關干係人，報告中會包含問題處理狀況的趨勢圖。

SonarQube與規則

SonarQube是一個用於代碼質量管理的開源平臺，支持25+種編程語言的質量掃描。SonqrQube由遠程機、Server端和數據庫構成。遠程客戶機能夠經過各類不一樣的分析機制，從而將被分析的項目代碼上傳到SonarQube server 並進行代碼質量的管理和分析，SonarQube 還會經過Web API將分析的結果以可視化、可度量的方式展現給出來。邏輯結構以下圖所示：

「

SonarQube的整合能力

SonarQube平臺中支持整合各類靜態代碼掃描檢測工具。SonarQube中各類代碼檢測工具分析對象及應用技術對比：

Java靜態分析工具	分析對象	應用技術
CheckStyle	Java源文件	缺陷模式匹配
FindBugs	字節碼	缺陷模式匹配；數據流分析
PMD	Java源代碼	缺陷模式匹配

CheckStyle

能夠很方便的幫咱們檢查Java代碼中的格式錯誤，它可以自動化代碼規範檢查過程，從而使得開發人員從這項重要，可是枯燥的任務中解脫出來。基本上都是根據開發規則定製規則。主要涵蓋如下內容：

Javadoc 註釋：檢查類及方法的 Javadoc 註釋
命名約定：檢查命名是否符合命名規範
標題：檢查文件是否以某些行開頭
Import 語句：檢查 Import 語句是否符合定義規範
代碼塊大小，即檢查類、方法等代碼塊的行數
空白：檢查空白符，如 tab，回車符等
修飾符：修飾符號的檢查，如修飾符的定義順序
塊：檢查是否有空塊或無效塊
代碼問題：檢查重複代碼，條件判斷，魔數等問題
類設計：檢查類的定義是否符合規範，如構造函數的定義等問題

FindBugs

Findbugs是一個靜態分析工具，它檢查類或者JAR文件，將字節碼與一組缺陷模式進行對比以發現可能的問題。主要涵蓋如下內容：

Bad practice 壞的實踐：常見代碼錯誤，用於靜態代碼檢查時進行缺陷模式匹配
Correctness 可能致使錯誤的代碼，如空指針引用等
國際化相關問題：如錯誤的字符串轉換
可能受到的惡意攻擊，如訪問權限修飾符的定義等
多線程的正確性：如多線程編程時常見的同步，線程調度問題
運行時性能問題：如由變量定義，方法調用致使的代碼低效問題

PMD

一種開源分析Java代碼錯誤的工具，其原理爲使用JavaCC生成解析器來解析源代碼並生成AST(抽象語法樹)。與其餘分析工具不一樣的是，PMD經過靜態分析獲知代碼錯誤。也就是說，在不運行Java程序的狀況下報告錯誤。PMD附帶了許多能夠直接使用的規則，利用這些規則能夠找出Java源程序的許多問題，例如：

潛在的 Bugs：檢查潛在代碼錯誤，如空的 try/catch/finally/switch 語句
未使用代碼（Dead code）：檢查未使用的變量，參數，方法等
可選的代碼：String/StringBuffer的濫用
複雜的表達式：檢查沒必要要的 if 語句，可被 while 替代的 for 循環
重複的代碼：檢查重複的代碼
循環體建立新對象：檢查在循環體內實例化新對象
資源關閉：檢查 Connect，Result，Statement 等資源使用以後是否被關閉掉

此外，用戶還能夠本身定義規則，檢查Java代碼是否符合某些特定的編碼規範。例如，你能夠編寫一個規則，要求PMD找出全部建立Thread和Socket對象的操做。

三種工具對比

由表中能夠看出幾種工具對於代碼檢查各有側重。其中，Checkstyle 更偏重於代碼編寫格式，及是否符合編碼規範的檢驗，對代碼 bug 的發現功能較弱；而 FindBugs，PMD着重於發現代碼缺陷。在對代碼缺陷檢查中，這三種工具在針對的代碼缺陷類別也各有不一樣，且類別之間有重疊。

「

規則定製

考慮到Sonar Java規則已經包含了PMD和CheckStyle規則，所以咱們選擇了Sonar的默認規則，並對其進行了定製化。下圖中SonarQube中展現了部分定製化規則內容。

定製化後的規則覆蓋的代碼缺陷類型以下表所示(部分規則)：

代碼缺陷分類	示例
引用操做	空指針引用
對象操做	對象比較（使用==而不是equals）
表達式複雜化	對於的if語句
數組使用	數組下標越界
未使用變量或代碼段	未使用變量
資源回收	I/O未關閉
方法調用	未使用方法返回值
代碼設計	空的try/catch/finally塊