在这里,你可以轻松实践 DevOps 全流程、体验高效的云端开发、赢取精美礼品——第二期大奖「戴尔 U2718Q 显示器」将于 12 月 3 日开奖,请尽快前往 CODING,完成任务参与抽奖,iPad Pro、HHKB 键盘和 Bose 耳机等礼品均有机会获得!也可以根据 CODING 最佳实践系列文章,探索更多新玩法。
「DevOps Workshop 学习营地」活动链接
https://workshop.coding.io
也可点击阅读原文直达
在 PC 端浏览器中打开体验更佳
接下来,开始阅读本篇 CODING 代码管理能力之「代码扫描」最佳实践吧!
CODING 代码扫描通过分析代码仓库中的源代码,能够及时发现其中潜藏的代码缺陷、安全漏洞以及不规范代码。
- 代码扫描内部目前集成了几十种工具、数千条规则,支持十余种常用开发语言,可在功能、安全、性能、可用性、代码规范等多个维度寻找您代码中的漏洞并提供修改建议。
- 责任人自动指派问题代码提交人,问题代码修复后可自行关闭,实现问题的闭环处理。
- 为了便于您的使用,系统内置了多种推荐扫描方案,也支持您按需定制。
- 支持自动化执行代码扫描:您可以通过设置触发规则,指定合适的时机比如合并请求时自动执行代码扫描。
- 支持对仓库的多个分支进行全量或增量的扫描。
实践 —— 辅助代码评审
在团队的开发协作中,为把控工程质量,推荐在合并场景中进行代码评审。但仅采用人工审查的方式,往往需要耗费大量时间与精力,使用代码扫描可自动扫描源分支生成扫描结果,并根据扫描结果自动拦截问题代码的合入,防止目标分支被污染,提升代码评审效率。
配置扫描任务
- 新建扫描任务
选定需管控代码质量的仓库及分支,以及拟使用的扫描方案,即可创建扫描任务。
- 配置触发规则
在扫描任务中点击设置,轻点触发规则即可看到代码仓库触发设置。
- 配置质量门禁
开启后,建议将致命问题和错误问题阈值设置为 0,其一般为影响系统稳定和安全的严重漏洞。
开启「管控合并请求」开关后,无论是否为保护分支,合并至此分支的所有合并请求必须通过质量门禁后才允许合并。
代码扫描如何用于辅助代码评审
- 合并请求触发扫描
按照上文所述配置好分支的扫描任务后开启「管控合并请求」,向该分支新建合并请求时将自动触发代码扫描,若不通过质量门禁将自动拦截禁止合入。
您可以在合并请求详情中,查看问题概览、问题报告来了解代码质量。
- 查看问题报告
点击查看问题报告,可以看到本次扫描后的所有问题,每个问题都有与之对应的所属文件、问题所匹配的规则、问题级别等内容。
- 查看问题详情
点击查看问题,可以看到问题的位置与错误原因,点击右侧的修复建议可以查看问题原因并辅助进行修复。
示例:sql 注入警告
- 修复问题后重新推送
建议按照问题级别依次修复扫描出的问题,在本地修复完成后可提交至源分支,将自动触发代码扫描。
总结
通过上述方式配置代码扫描,可帮助团队在合并请求的场景中有效的管控代码质量,并提升团队对代码评审的效率和积极性,进而提升整个团队的工程质量。