在刚刚结束的2019年ITSS技术要求标准编制会议上,北京大学软件工程国家工程研究中心应邀参与了ITSS Devops技术标准的编写工作,在代码审查环节以及整个Devops的技术标准上提出了非常多的宝贵意见。
Devops作为软件生命周期管理领域的新思维,已经被业界所接受,很多企业在落地实施。毋容置疑,Devops为软件行业流程改造带来了新思维,满足越来越快速的集成、构建、发布和部署是大多数企业追求的目标。
Devops理念的引入,对整个软件开发流程、工作方法提出了更多的要求,尤其是在Devops整个自动化工具链的构建,强调了快速、高效、准确。如何通过企业业务流程,整合工具,实现角色、岗位、需求、代码、状态、进度、质量等管理和控制,打破部门之间的隔离,强化各个岗位之间的密切协作,减少沟通和协调成本,提升工作效率。
在Devops的整个工具链中,代码审查是一个重要环节,是开发岗位提交代码到代码配置库之前,必须要通过代码审查,只有代码审查通过之后,才能进入代码配置库进行集中构建。很多企业采用开源的代码审查工具,例如sonar、Sonarqube等进行代码扫描,这些工具用例扫描,只能解决了工作流程中有没有问题,但是没有解决代码审查质量高低问题。据OWASP benchmark基准测试,Sonarqube的约登指数只有0.33(通过针对2740个真假安全漏洞测试案例进行基准测试,真阳性率(真漏洞发现率)-假阳性率(假漏洞报出率))。大量的误报和漏洞会给开发人员或测试人员代理太多的工作量,往往是根据工具检测项目定通过率指标,而不是制定标准后再选择满足指标检测的工具。
库博CoBOT作为支持超过10种主流开发语言的代码缺陷检测工具,能够达到超过85%的检测精度,200万行/小时的检测速度,能够胜任任何对代码审查的检测标准,所以在这次技术标准制定会议上,提出了一些技术指标,希望业界能够不断提升代码检测的准确性和效率。
- CoBOT能够对接CI系统。库博能够支持与Jenkins等Devops建设主流平台的持续集成,能够与svn、Git等代码管理工具无缝集成,实现全自动的定时检测或触发检测,推送检测结果。
- CoBOT能够与Eclipse、VS等主流IDE集成,作为IDE的一个插件,使开发人员使用代码检测和修复工具的技术门槛最低。让开发人员第一时间发现代码中的运行时缺陷和安全漏洞,降低修复成本。
- 增量检测技术,CoBOT与svn、GIT绑定后,能够自动识别项目代码变化情况,触发增量检测。根据代码变化情况,分析修改对质量的影响情况。
- 能够产生多种格式的报告。CoBOT提供Word、Excel、WPS、PDF、JSON五种格式的检测结果,且开发人员可以直接读取JSON格式检测报告,定制检测结果。
ITSS技术标准在制定后,即将发布,需要配套的代码审查工具才能实现标准的落地实施。CoBOT能够帮助企业实现代码审查标准的定制,保证开发人员编写代码的质量。同时另一款工具,灏博HoBOT能够对开发人员提交代码中引用的开源组件进行成分分析,实现引用组件透明化,且能够检测出组件中的0day漏洞,提供修复建议。能够帮助企业质量管理者全面把好代码质量关。
(完)
