隨著數(shù)字經(jīng)濟(jì)的快速增長(zhǎng)，應(yīng)用數(shù)量激增，軟件已無處不在。凡是軟件都可能存在缺陷（Bug)，缺陷遺留到現(xiàn)網(wǎng)就可能產(chǎn)生問題，軟件問題輕則影響工作生活體驗(yàn)，重則產(chǎn)生巨額經(jīng)濟(jì)損失，甚至危及生命安全。例如，1996年阿麗亞娜 5 號(hào)火箭在首次發(fā)射后的37秒即激活了自毀裝置。事后查明，事故原因就在于一個(gè)小小的代碼整型溢出缺陷。

因此，如何守護(hù)好軟件質(zhì)量，并持續(xù)守護(hù)存量代碼質(zhì)量、開發(fā)高質(zhì)量的代碼是企業(yè)面臨的巨大挑戰(zhàn)。在這個(gè)過程中，代碼檢查工具是眾多企業(yè)降低損失的有效手段。在上面的例子中，如果在開發(fā)階段及早引入代碼檢查工具，事前發(fā)現(xiàn)問題并及時(shí)修復(fù)，或許可避免近數(shù)十億美元的損失。

代碼檢查工具是低成本守護(hù)代碼質(zhì)量的最優(yōu)選擇

軟件專家卡珀斯·瓊斯在其著作《Applied Software Measurement》中明確指出：“85%的軟件缺陷發(fā)生在編碼階段，后端測(cè)試修復(fù)缺陷的成本是開發(fā)階段40倍”。業(yè)界實(shí)踐經(jīng)驗(yàn)也表明，在軟件生命周期中缺陷發(fā)現(xiàn)越早、修復(fù)越早，缺陷的影響和修復(fù)代價(jià)就越小。

代碼檢查工具能夠自動(dòng)化地?cái)r截代碼質(zhì)量和安全問題，確保編程規(guī)范落地，有效守護(hù)軟件產(chǎn)品質(zhì)量安全，因此在業(yè)界已得到廣泛實(shí)踐。中國(guó)企業(yè)對(duì)代碼質(zhì)量的重視也在持續(xù)提升，云計(jì)算開源產(chǎn)業(yè)聯(lián)盟《中國(guó) DevOps現(xiàn)狀調(diào)查報(bào)告2022》指出，應(yīng)用自動(dòng)化代碼掃描的企業(yè)占比已超七成。

值得關(guān)注的是，在這一市場(chǎng)趨勢(shì)下，國(guó)產(chǎn)軟件工具仍需快速自主創(chuàng)新。Gartner 2021年AST魔力象限報(bào)告指出，目前占市場(chǎng)主導(dǎo)地位的代碼檢查工具多數(shù)來自國(guó)外企業(yè)，雖然近幾年國(guó)產(chǎn)代碼檢查工具發(fā)展迅猛，但與行業(yè)領(lǐng)導(dǎo)者仍然存在差距，亟需加快研發(fā)完全自主的代碼檢查工具，以應(yīng)對(duì)國(guó)內(nèi)軟件企業(yè)蓬勃發(fā)展所需。

高質(zhì)量代碼的華為實(shí)踐

華為早在1998年就開始引入商用代碼檢查工具，由開發(fā)團(tuán)隊(duì)按需進(jìn)行代碼質(zhì)量檢查。從按需使用、有序規(guī)范、到代碼安全可信，華為持續(xù)投入數(shù)千萬美元，攻克了靜態(tài)分析技術(shù)檢查準(zhǔn)確性、效率等難題。基于30多年的研發(fā)經(jīng)驗(yàn)與全球市場(chǎng)驗(yàn)證，華為在產(chǎn)品開發(fā)質(zhì)量和可信方面沉淀了系列化的開發(fā)工具與能力，并隨著軟件全面云化、智能化等新趨勢(shì)不斷演進(jìn)。在這個(gè)過程中，華為總結(jié)出高效開展代碼檢查活動(dòng)的五大理念：

第一、構(gòu)建文化

在研發(fā)過程中，華為基于對(duì)好代碼的解讀和追求，結(jié)合業(yè)界先進(jìn)實(shí)踐、專家學(xué)術(shù)研究和ISO標(biāo)準(zhǔn)，提出了華為的CleanCode主張，旨在滿足功能正確的前提下，打造具有可讀、可維護(hù)、安全、可靠、可測(cè)試、高效、可移植七大特征的高質(zhì)量代碼，建立人人編寫CleanCode代碼的軟件文化。

第二、規(guī)范先行

代碼檢查需要“有章可循”。“章”即統(tǒng)一完備的編程規(guī)范，不僅界定了編碼風(fēng)格，更明確定義了哪些代碼的寫法會(huì)造成質(zhì)量和安全風(fēng)險(xiǎn)。好的規(guī)范是檢查引擎的能力標(biāo)尺，為助力開發(fā)人員打造“好代碼”，華為針對(duì)每類編程語言，參考業(yè)界規(guī)范并基于自身實(shí)踐總結(jié)，輸出了覆蓋代碼風(fēng)格、質(zhì)量、安全等各方面要求的統(tǒng)一編程規(guī)范。

第三、統(tǒng)一引擎

為了兼顧代碼檢查的質(zhì)量和效率，華為積極投入關(guān)鍵技術(shù)攻關(guān)，構(gòu)建了自主創(chuàng)新的檢查引擎，幫助用戶在一次掃描中即可針對(duì)代碼的七大質(zhì)量特征進(jìn)行全面分析。同時(shí)該引擎具備良好的擴(kuò)展性，支持將多種檢查引擎匯聚在一個(gè)服務(wù)，用戶一次掃描、讀取一份報(bào)告，即可完成代碼檢查工作。

第四、三級(jí)檢查

代碼檢查需要從全流程對(duì)代碼入庫(kù)進(jìn)行守護(hù)，快速反饋給開發(fā)人員。為此，在編碼、入庫(kù)、版本發(fā)布三個(gè)階段需要配置不同的檢查規(guī)則，兼顧檢查時(shí)間與檢查能力，將缺陷攔截在前端：

1.IDE級(jí)檢查，部署在開發(fā)IDE桌面，針對(duì)本地待提交代碼；

2.MR門禁級(jí)檢查，部署在MR階段，針對(duì)待合入分支的變更文件做分析；

3.版本級(jí)檢查，部署在發(fā)布階段，針對(duì)待發(fā)布的主干或分支全量代碼。

第五、三層運(yùn)營(yíng)

不同產(chǎn)品對(duì)于代碼檢查規(guī)則的選擇存在差異，需要遵從公司要求，同時(shí)根據(jù)產(chǎn)品進(jìn)行定制增強(qiáng)。通過建立公司、產(chǎn)品線、產(chǎn)品三層的運(yùn)營(yíng)體系，可實(shí)現(xiàn)代碼檢查在不同產(chǎn)品的有效落地和分層管控，牽引全公司參與能力建設(shè)。

基于以上五大核心理念，經(jīng)過多年的沉淀和實(shí)踐，華為自主研發(fā)了代碼檢查工具，已服務(wù)華為超過15萬開發(fā)人員，日均掃描500億行代碼，支撐華為產(chǎn)品和解決方案在170多個(gè)國(guó)家和地區(qū)持續(xù)安全穩(wěn)定運(yùn)行，贏得全球企業(yè)客戶信任。

華為云CodeArts Check服務(wù)，全面守護(hù)軟件質(zhì)量和安全

1月12日，華為云正式對(duì)外發(fā)布CodeArts Check代碼檢查服務(wù)，支持海量源代碼的風(fēng)格、質(zhì)量和安全檢查，可實(shí)現(xiàn)百億行大規(guī)模并行掃描，并提供完善的修改指導(dǎo)和趨勢(shì)分析，幫助企業(yè)有效管控代碼質(zhì)量。

特性一、自研代碼檢查引擎，全面評(píng)估代碼質(zhì)量七特征

代碼檢查服務(wù)的核心是代碼檢查引擎。高效精準(zhǔn)的代碼檢查引擎可幫助用戶在開發(fā)早期快速、準(zhǔn)確地發(fā)現(xiàn)代碼問題，兼顧開發(fā)效率與產(chǎn)品質(zhì)量。華為云CodeArts Check代碼檢查引擎目前已覆蓋業(yè)界主流開發(fā)語言，可針對(duì)代碼的可讀、可維護(hù)、安全、可靠、可測(cè)試、高效、可移植七大方面進(jìn)行全面分析，并融合華為對(duì)代碼質(zhì)量及可信度能力的實(shí)踐與思考，不斷演進(jìn)和豐富檢查規(guī)則。

特性二、支持五大業(yè)界主流標(biāo)準(zhǔn)和華為編程規(guī)范，提升產(chǎn)品代碼規(guī)范度

軟件產(chǎn)品的質(zhì)量問題往往會(huì)導(dǎo)致產(chǎn)品產(chǎn)生難以預(yù)測(cè)的運(yùn)營(yíng)風(fēng)險(xiǎn)或成本風(fēng)險(xiǎn)，建立源代碼級(jí)別的質(zhì)量檢測(cè)措施標(biāo)準(zhǔn)就尤為重要。華為云CodeArts Check可以對(duì)企業(yè)研發(fā)代碼進(jìn)行全面質(zhì)量檢查，支持快速篩選已識(shí)別的編程規(guī)范問題；支持ISO 5055、CERT、CWE、OWASP TOP 10、CWE/SANS TOP 25等業(yè)界主流編程標(biāo)準(zhǔn)和優(yōu)秀實(shí)踐，并內(nèi)置華為終端、網(wǎng)絡(luò)、云計(jì)算、芯片等產(chǎn)品多年研發(fā)經(jīng)驗(yàn)總結(jié)的編程規(guī)范，可幫助用戶快速?gòu)?fù)制業(yè)界優(yōu)秀實(shí)踐，確保產(chǎn)品代碼符合業(yè)界標(biāo)準(zhǔn)和規(guī)范，支撐合規(guī)準(zhǔn)入。 

 特性三、支持主流開發(fā)語言，內(nèi)置7000+檢查規(guī)則，便于用戶開箱即用

華為云CodeArts Check支持C/C++、Java、Python、GO、JavaScript、CSS、HTML、PHP、C#、Android等市場(chǎng)主流開發(fā)語言，滿足嵌入式、云服務(wù)、WEB應(yīng)用、移動(dòng)應(yīng)用等開發(fā)場(chǎng)景所需。同時(shí)，華為云CodeArts Check已內(nèi)置多款開源工具與自研引擎，可提供超過7000條豐富的檢查規(guī)則；并梳理各類場(chǎng)景需要，內(nèi)置全面檢查規(guī)則集、關(guān)鍵檢查規(guī)則集、移動(dòng)領(lǐng)域規(guī)則集、華為編程規(guī)范規(guī)則集等10余個(gè)規(guī)則集，便于用戶開箱即用；企業(yè)用戶也可基于規(guī)則庫(kù)，定制滿足業(yè)務(wù)場(chǎng)景個(gè)性需求的檢查規(guī)則集。

特性四、日均百億級(jí)掃描能力，支持大型企業(yè)超大規(guī)模代碼檢查

華為云CodeArts Check具備強(qiáng)大的高并發(fā)處理能力，支持華為內(nèi)部日均30萬次高頻代碼檢查，掃描規(guī)模達(dá)到500億行。針對(duì)基礎(chǔ)設(shè)施導(dǎo)致的服務(wù)中斷風(fēng)險(xiǎn)，華為云CodeArts Check可通過AZ容災(zāi)、跨region級(jí)容災(zāi)多活，支持過載保護(hù)、服務(wù)依賴和隔離等一系列高可用技術(shù)，實(shí)現(xiàn)服務(wù)故障自探測(cè)、自隔離、自恢復(fù)，為大型應(yīng)用研發(fā)團(tuán)隊(duì)提供可靠支持。針對(duì)代碼檢查業(yè)務(wù)量波峰波谷落差明顯的特征，華為云CodeArts Check通過強(qiáng)大的彈性調(diào)度能力，能夠快速高效地調(diào)配資源，滿足業(yè)務(wù)所需，確保業(yè)務(wù)高峰零等待。

特性五、一站式問題閉環(huán)修復(fù)，問題修復(fù)效率倍增

開發(fā)使用代碼檢查工具時(shí)，往往容易遇到問題分析和修復(fù)成本高等挑戰(zhàn)，例如工具問題不易理解、問題分到具體開發(fā)人員費(fèi)時(shí)費(fèi)力、多版本情況下重復(fù)處理同一告警令開發(fā)人員厭倦等，影響開發(fā)團(tuán)隊(duì)對(duì)檢查工具的使用積極性。華為云CodeArts Check內(nèi)置編程規(guī)范說明、正確示例、錯(cuò)誤示例和修復(fù)建議，能夠讓問題精準(zhǔn)定位到行并提供修復(fù)指導(dǎo)，以提高問題分析效率；可自動(dòng)根據(jù)代碼提交信息匹配問題責(zé)任人，通過IDE插件提供自動(dòng)修復(fù)能力，提升問題修復(fù)效率；支持自動(dòng)同步已處理的忽略問題、對(duì)于經(jīng)過審視判定為不需要處理的問題，同一代碼倉(cāng)庫(kù)只需處理一次。得益于修復(fù)指導(dǎo)、自動(dòng)修復(fù)、結(jié)果自動(dòng)繼承這三大能力，華為云CodeArts Check能夠讓檢查問題處理和修復(fù)的效率提升100%。

特性六、“代碼編寫-代碼合并-版本發(fā)布”三層缺陷防護(hù)，兼顧效率與質(zhì)量

優(yōu)秀的代碼開發(fā)實(shí)踐，往往要求代碼檢查與開發(fā)作業(yè)流的融合統(tǒng)一，在用戶代碼編寫、代碼提交時(shí)，同步自動(dòng)化審計(jì)檢查，并對(duì)團(tuán)隊(duì)每日產(chǎn)出的代碼進(jìn)行持續(xù)的編程規(guī)范和質(zhì)量檢查。這一技術(shù)要求，也已成為安全開發(fā)過程SDL、DevSecOps等眾多優(yōu)秀開發(fā)模式推薦進(jìn)行的實(shí)踐要求。

華為云CodeArts Check提供了豐富的API接口，提供IDE代碼檢查插件，與代碼倉(cāng)協(xié)同支持代碼提交時(shí)自動(dòng)檢查，與流水線協(xié)同支持軟件全量代碼檢查，三層防范代碼缺陷引入。“快車道”精準(zhǔn)、快速檢查前移，頻繁檢查，對(duì)開發(fā)人員干擾最小；“慢車道”全面、深度檢查夜間進(jìn)行，防止代碼檢查遺漏。

在服務(wù)好華為內(nèi)部軟件代碼質(zhì)量保障的同時(shí)，華為云CodeArts Check已經(jīng)服務(wù)能源、物流等企業(yè)及新聞媒體，幫助其管控代碼質(zhì)量。例如，中國(guó)經(jīng)濟(jì)信息社面臨多個(gè)軟件ISV廠商研發(fā)標(biāo)準(zhǔn)不統(tǒng)一、質(zhì)量很難統(tǒng)一保障等困難。通過華為云CodeArts Check，中經(jīng)社應(yīng)用3000+編程規(guī)范規(guī)則，統(tǒng)一研發(fā)標(biāo)準(zhǔn)，提升研發(fā)效率，將質(zhì)量活動(dòng)從后端測(cè)試延伸到開發(fā)階段，進(jìn)行代碼規(guī)范和安全檢查，實(shí)現(xiàn)代碼缺陷檢查前移，研發(fā)交付質(zhì)量提升50%。

為解決開發(fā)團(tuán)隊(duì)首次使用代碼檢查，存量代碼檢查問題多、修復(fù)成本高的困難，華為云CodeArts Check研發(fā)團(tuán)隊(duì)著力研究代碼檢查問題的自動(dòng)修復(fù)，并在華為內(nèi)部催熟使用。面向未來，華為云將持續(xù)通過CodeArts Check服務(wù)，把華為優(yōu)秀的代碼質(zhì)量管理經(jīng)驗(yàn)與工具能力，如代碼安全檢查能力、自動(dòng)修復(fù)能力、平臺(tái)靈活集成與擴(kuò)展等，以云服務(wù)的方式共享開放給廣大企業(yè)與開發(fā)者。同時(shí)，華為云將繼續(xù)攜手國(guó)內(nèi)客戶、伙伴與開發(fā)者，共建代碼編程標(biāo)準(zhǔn)，共同建設(shè)開放的技術(shù)生態(tài)，助力業(yè)界軟件代碼質(zhì)量不斷提升，打造新一代開放、可信、高質(zhì)量的現(xiàn)代軟件生態(tài)。