静态审计是一个帮助提高代码质量的非常好的工具。审计意味着写下的代码被一个外部的审计师审查。人工的审计者通常是最好的,虽然他们不是总是适用。静态审计提供一个代码审查的自动的方法,并能很快地接收到反馈。它系统性地检查每一个文件的每一行代码。它不针对同人工审核一样的违规实例,但是也带来一系列的很好地优势:
它运行快
仅仅需要几分钟来使审计工具阅读一个百万行代码和产生一个包括文件名,行号和代码问题文档的报告。当人工审计师还在读第一个类的时候,审计工具已经找到了一些结果。而且,它是可重复运行的,如果万一某一行的代码改动对整个应用有大的冲击的话。
它严加苛刻地对待代码
把一个变量叫做$constant,每个一个阅读器将会添加一个偏向性:这个变量需要包含一个常量,或者行为像一个常量即使它是…一个变量。静态工具对代码严酷:它们不管写这些肮脏的代码有多么容易,总是会定位到坏的代码。这意味着读起来复杂的表达式,严谨单行代码,或者写过又重写过的代码会得到同样的对待。
它帮助定位问题代码
代码中的问题往往以一组的方式出现:多个的违规出现在同一个区域,提醒(我们)的注意。在人工审核的时候,大量的代码重构是需要的。同样,审计工具把我们的注意力引向代码中那些不然就不会被审计的代码的部分。整个应用被清理了,而不是某个部分。
它从来不忘记
最好的时候去找代码中的问题是当你不在找它们的时候。这样,校对代码给识别另外一些需要清理的代码的机会。既然我们已经在找bugs,为什么不也清理那些?并且,如果这是一个新的而且不寻常的问题,就是时候把它添加到(审计)参考里(像clear PHP)以便它不会在后来的时候忘掉
运行它后感觉不错
就像endorphins(荷尔蒙)和强烈运动后冲完凉一样的舒适感觉,运行静态审计工具和清理一些代码带来非常好的感觉。有时候,它就像从我的手臂上打掉一个虫子一样棒;有时候它仅仅是清理代码和保持它的灵活性。在任何情况下,对代码的信任读要更高而且是可以观察到的。
今天就试试一些审计工具吧。
English: http://178.62.231.40/why-static-audit-help-code-quality/