【摘要】代碼檢查中，提到的編程規(guī)范，規(guī)則集，規(guī)則，規(guī)則用例（場(chǎng)景、誤報(bào)、檢出）分別代表什么意思呢？

在 SAST 靜態(tài)檢查領(lǐng)域，代碼檢查服務(wù)可以幫助開(kāi)發(fā)者發(fā)現(xiàn)和修復(fù)代碼中的風(fēng)格、質(zhì)量和安全等方面的問(wèn)題。那么在代碼檢查服務(wù)中，提到的編程規(guī)范，規(guī)則集，規(guī)則，規(guī)則用例（場(chǎng)景、誤報(bào)、檢出）分別代表什么意思呢？

編程規(guī)范

在 SAST 靜態(tài)代碼檢查領(lǐng)域，編程規(guī)范是一套在組織層面關(guān)于代碼編寫(xiě)的標(biāo)準(zhǔn)或準(zhǔn)則。它可以幫助開(kāi)發(fā)者遵循一致的風(fēng)格和習(xí)慣，提高代碼的可讀性、可維護(hù)性、可移植性、安全性與可靠性，目的在于指導(dǎo)公司、部門(mén)、項(xiàng)目組編寫(xiě)出 CleanCode 及高質(zhì)量的軟件。

編程規(guī)范通常會(huì)參考業(yè)界標(biāo)準(zhǔn)及實(shí)踐，并包含命名、縮進(jìn)、注釋、格式等方面的內(nèi)容，業(yè)界內(nèi)比較有名的有華為編程規(guī)范。

編程規(guī)范內(nèi)的規(guī)則通常被用于在特定場(chǎng)景下使用，檢測(cè)出代碼中的漏洞和缺陷。但是這些規(guī)則并非就是萬(wàn)能完美的，在一些場(chǎng)景下，可能會(huì)導(dǎo)致誤報(bào)率、漏報(bào)率高的情況發(fā)生。如果在日常使用中發(fā)現(xiàn)某些規(guī)則不適合或者無(wú)法遵循，經(jīng)過(guò)團(tuán)隊(duì)共同研討決策，是可以對(duì)規(guī)范中的規(guī)則進(jìn)行改進(jìn)甚至下線處理的。

注意，團(tuán)隊(duì)內(nèi)在使用編程規(guī)范的時(shí)候，是希望團(tuán)隊(duì)成員都具有相應(yīng)語(yǔ)言的基礎(chǔ)編程能力，而不是說(shuō)希望通過(guò)編程規(guī)范來(lái)學(xué)習(xí)某個(gè)具體的語(yǔ)言。

規(guī)則集

規(guī)則集則是一組用于做代碼檢查的規(guī)則組成的集合。

一般根據(jù)不同的檢查目標(biāo)和需求，規(guī)則集也有相應(yīng)的分類(lèi)，比如對(duì)安全類(lèi)、安卓應(yīng)用、編程風(fēng)格這些類(lèi)別進(jìn)行檢查的時(shí)候，規(guī)則集內(nèi)的規(guī)則也會(huì)有不同的選擇。

規(guī)則集可以應(yīng)用在不同的范圍上，比如：公司最小規(guī)則集可以在全公司范圍內(nèi)使用，產(chǎn)品線規(guī)則集則可以在最小規(guī)則集的基礎(chǔ)上再額外加些產(chǎn)品線特有的規(guī)則進(jìn)去，構(gòu)建一個(gè)范圍更大的產(chǎn)品線級(jí)規(guī)則集。

規(guī)則集也可以在不同的階段使用。比如針對(duì)本地 IDE 編碼階段，可以構(gòu)建一個(gè) IDE 插件檢查規(guī)則集在本地實(shí)時(shí)進(jìn)行檢查。在提交增量代碼階段，使用一個(gè)更大范圍的規(guī)則集對(duì)增量代碼進(jìn)行自動(dòng)化檢查。在要進(jìn)行版本級(jí)掃描階段，與流水線協(xié)同提供全面、深度的全量檢查。

華為云 CodeArtsCheck 的系統(tǒng)推薦規(guī)則集

規(guī)則

規(guī)則是一種用來(lái)指導(dǎo)和約束代碼檢查的標(biāo)準(zhǔn)和準(zhǔn)則。它可以根據(jù)不同的編程語(yǔ)言、編碼規(guī)范、質(zhì)量要求等因素來(lái)制定。每個(gè)規(guī)則可以說(shuō)都定義了一個(gè)缺陷模式，當(dāng)該模式在目標(biāo)代碼中匹配成功后會(huì)生成一個(gè)檢查問(wèn)題。

每個(gè)規(guī)則都會(huì)包含一個(gè) ID 和一個(gè)操作。ID 可以說(shuō)是規(guī)則唯一的標(biāo)識(shí)符，用于區(qū)分不同的規(guī)則；操作則用于指定改規(guī)則在代碼檢查期間應(yīng)該執(zhí)行的動(dòng)作，比如告警等。

規(guī)則一般會(huì)包含描述信息（包含編寫(xiě)這條規(guī)則的背景等）、正確的代碼示例、錯(cuò)誤的代碼示例、修復(fù)建議、參考的規(guī)范等信息。

華為云 CodeArtsCheck 的規(guī)則信息

規(guī)則用例

規(guī)則用例是一種用于驗(yàn)證代碼檢查規(guī)則是否按照預(yù)期正確工作的測(cè)試用例。一般它會(huì)包括一個(gè)或多個(gè)測(cè)試輸入（代碼片段），執(zhí)行條件以及預(yù)期的檢查結(jié)果（包括是否有問(wèn)題，問(wèn)題的類(lèi)型，問(wèn)題的位置等）。

規(guī)則用例可以說(shuō)是檢驗(yàn)和驗(yàn)證規(guī)則的一種手段，可以幫助開(kāi)發(fā)人員和測(cè)試人員評(píng)估代碼檢查規(guī)則的有效性、準(zhǔn)確性和覆蓋性。

而和規(guī)則用例配套的術(shù)語(yǔ)則有：場(chǎng)景，誤報(bào)，檢出等。

場(chǎng)景

場(chǎng)景是一種描述代碼檢查規(guī)則應(yīng)用的具體情況或背景的方法，它可以說(shuō)是規(guī)則用例的集合（包含 1 個(gè)或多個(gè)規(guī)則用例）以及一些相關(guān)的信息（項(xiàng)目類(lèi)型、編程語(yǔ)言、編碼規(guī)范等）的結(jié)合。場(chǎng)景可以比規(guī)則用例更全面的模擬代碼檢查規(guī)則的使用場(chǎng)景。

誤報(bào)

誤報(bào)是指代碼檢查服務(wù)錯(cuò)誤地報(bào)告了一個(gè)不存在的問(wèn)題或一個(gè)錯(cuò)誤的問(wèn)題類(lèi)型的狀況。誤報(bào)一般是由于代碼檢查規(guī)則的設(shè)計(jì)缺陷、實(shí)現(xiàn)錯(cuò)誤、使用場(chǎng)景不匹配或配置不當(dāng)?shù)仍蛟斐傻?，?huì)導(dǎo)致開(kāi)發(fā)人員和測(cè)試人員對(duì)代碼檢查服務(wù)的信任度降低。

檢出

檢出則和誤報(bào)完全相反，是個(gè)好的現(xiàn)象，是指代碼檢查服務(wù)正確地報(bào)告了一個(gè)確實(shí)存在的問(wèn)題及正確的問(wèn)題類(lèi)型的狀況。檢出高可以幫助開(kāi)發(fā)人員預(yù)防和修復(fù)潛在的缺陷。

審核編輯 黃宇