【软件测试】学习笔记-静态测试方法

这篇文章详细讨论人工静态测试方法和自动静态测试方法,来帮你理解研发流程上是如何保证代码质量的,以及如何搭建自己的自动静态代码扫描方案,并且应用到项目的日常开发工作中去。

人工静态方法本质上属于流程上的实践,实际能够发现问题的数量很大程度依赖于个人的能力,所以从技术上来讲这部分内容可以讨论的点并不多。但是,这种方法已经在目前的企业级测试项目中被广泛地应用了,所以我们还是需要理解这其中的流程,才能更好地参与到人工静态测试中。

而自动静态方法,可以通过自动化的手段,以很低的成本发现并报告各种潜在的代码质量问题,目前已经被很多企业和项目广泛采用,并且已经集成到CI/CD流水线了。作为测试工程师,我们需要完成代码静态扫描环境的搭建。

人工静态方法

通过我上一次的分析,我们知道了人工静态方法检查代码错误,主要有代码走查、结对编程,以及同行评审这三种手段。那么我们接下来就看一下这三种方法是如何执行的。

  • 代码走查(Code Review),是由开发人员检查自己的代码,尽可能多地发现各类潜在错误。但是,由于个人能力的差异,以及开发人员的“思维惯性”,很多错误并不能在这个阶段被及时发现。
  • 结对编程(Pair Programming),是一种敏捷软件开发的方法,一般是由两个开发人员结成对子在一台计算机上共同完成开发任务。其中,一个开发人员实现代码,通过被称为“驾驶员”;另一个开发人员审查输入的每一行代码,通常被称为“观察员”。- 当“观察员”对代码有任何疑问时,会立即要求“驾驶员”给出解释。解释过程中,“驾驶员”会意识到问题所在,进而修正代码设计和实现。- 实际执行过程中,这两个开发人员的角色会定期更换。
  • 同行评审(Peer Review),是指把代码递交到代码仓库,或者合并代码分支(Branch)到主干(Master)前,需要和你同技术级别或者更高技术级别的一个或多个同事对你的代码进行评审,只有通过所有评审后,你的代码才会被真正递交。- 如果你所在的项目使用GitHub管理代码,并采用GitFlow的分支管理策略,那么在递交代码或者分支合并时,需要先递交Pull Request(PR),只有这个PR经过了所有评审者的审核,才能被合并。这也是同行评审的具体实践。目前,只要你采用GitFlow的分支管理策略,基本都会采用这个方式。

对于以上三种方式,使用最普遍的是同行评审。因为同行评审既能较好地保证代码质量,又不需要过多的人工成本投入,而且递交的代码出现问题后责任明确,另外代码的可追溯性也很好。

结对编程的实际效果虽然不错,但是对人员的利用率比较低,通常被用于一些非常关键和底层算法的代码实现。

自动静态方法

自动静态方法,主要有以下三个特点:

  • 相比于编译器,可以做到对代码更加严格、个性化的检查;
  • 不真正检测代码的逻辑功能,只是站在代码本身的视角,基于规则,尽可能多地去发现代码错误;
  • 由于静态分析算法并不实际执行代码,完全是基于代码的词法分析、语法分析、控制流分析等技术,由于分析技术的局限性以及代码写法的多样性,所以会存在一定的误报率。

基于这些特点,自动静态方法通常能够以极低的成本发现以下问题:

  • 使用未初始化的变量;
  • 变量在使用前未定义;
  • 变量声明了但未使用;
  • 变量类型不匹配;
  • 部分的内存泄漏问题;
  • 空指针引用;
  • 缓冲区溢出;
  • 数组越界;
  • 不可达的僵尸代码;
  • 过高的代码复杂度;
  • 死循环;
  • 大量的重复代码块;

正是由于自动静态方法具有自动化程度高,检查发现问题的成本低以及能够发现的代码问题广等特点,所以该方法被很多企业和项目广泛应用于前期代码质量控制和代码质量度量。

在实际工程实践中,企业往往会结合自己的编码规范定制规程库,并与本地IDE开发环境和持续集成的流水线进行高度整合。

代码本地开发阶段,IDE环境就可以自动对代码实现自动静态检查;当代码递交到代码仓库后,CI/CD流水线也会自动触发代码静态检查,如果检测到潜在错误,就会自动邮件通知代码递交者。

接下来,我们一起来看两个自动静态方法发现错误的实际案例,希望可以加深你对自动静态方法的认识。

自动静态方法的实际例子

第一个例子,自动静态方法检查语法特征错误。

如图1左侧所示的C语言代码,存在数组越界的问题,一种典型的语法特征错误。

图1右侧,就是通过C语言的自动静态扫描工具splint发现的这个问题,并给出的分析结果。

图1 数组越界的错误

第二个例子,自动静态方法检查内存空间被释放后继续被赋值的错误。

如图2左侧所示的C语言代码,我们用malloc函数申请了一个内存空间,并用指针a指向了这个空间,然后新建了一个指针b也指向这个空间,也就是指针a和指针b实际上指向了同一个内存空间。之后,我们把指针a指向的空间释放掉了,意味着指针b指向的空间也被释放了。但是,此时代码却试图去对指针b指向的空间赋值,显然这会导致不可预料的后果。

幸运的是,C语言的自动静态扫描工具splint发现了这个问题,并给出了详细解释。

图2 内存空间释放后还继续使用的错误

实际案例:Sonar实战

现在,我们已经了解了自动静态代码扫描的基本概念,那怎么把这些知识落地到你的实际项目中呢?我们就从目前主流的自动静态工具Sonar的使用开始吧。

考虑到你可能以前并没有接触过Sonar,所以我会按照step by step的节奏展开。如果你已经用过Sonar了,你可以跳过在Mac 电脑上建立Sonar的步骤,从完成你的Maven项目的自动静态分析开始。

通过这个Sonar实例,你可以掌握:

  • 搭建自己的SonarQube服务器;
  • 扫描Maven项目,并将结果报告递交到SonarQube服务器;
  • 在IntelliJ IDE中集成SonarLint插件,在IDE中实现实时的自动静态分析;

首先,在Sonar官网下载LTS(Long-term Support)版本的SonarQube 6.7.5。这里需要注意的是,我不推荐在实际工程项目中使用最新版的SonarQube,而是建议使用LTS版本以保证稳定性和兼容性。

解压后运行其中的bin/macosx-universal-64目录下的sonar.sh,这里需要注意运行sonar.sh时要带上“console”参数。如果执行完成的界面如下图3所示,那么说明你的SonarQube服务已经成功启动。

图3 SonarQube启动成功的界面

此时,你可以尝试访问localhost:9000,并用默认账号(用户名和密码都是“admin”)登录。

为了简化建立SonarQube的步骤,所有的内容我都使用了默认值。比如,我直接使用了SonarQube内建的数据库,端口也采用了默认的9000。但是,在实际工程项目中,为了Sonar数据的长期可维护和升级,我们通常会使用自己的数据库,需要执行下面这些步骤:

  1. 安装SonarQube之前,先安装数据库;
  2. 建立一个空数据库并赋予CRUD权限;
  3. 修改SonarQube的conf/sonar.properties中的JDBC配置,使其指向我们新建的数据库。我们也可以采用同样的方法,来修改默认的端口。

因为要在Maven项目中执行代码静态扫描,为此我们需要先找到$MAVEN_HOME/conf下的settings.xml文件,在文件中加入Sonar相关的全局配置,具体需要加入的内容如下所示:

<settings><pluginGroups><pluginGroup>org.sonarsource.scanner.maven</pluginGroup></pluginGroups><profiles><profile><id>sonar</id><activation><activeByDefault>true</activeByDefault></activation><properties><sonar.host.url>http://myserver:9000</sonar.host.url></properties></profile></profiles>
</settings>

最后,我们就可以在Maven项目中,执行“mvn clean verify sonar:sonar”命令完成静态代码扫描。

如果你是第一次使用这个命令,那么mvn会自动下载依赖maven-sonar-plugin,完成后发起代码的静态扫描,并会自动把扫描结果显示到SonarQube中。

图4 SonarQube的静态扫描结果页面

扫描结果是Passd,但同时也发现了三个Code Smell问题,或者说是改进建议,如图5所示。

  1. Class建议放在package中;
  2. 导入了java.io.BufferedInputStream,但没有在实际代码中使用,建议删除;
  3. 建议变量名字不要包含下划线。

图5 详细扫描结果示例

至此,你已经使用Sonar完成了一次代码的静态扫描,是不是还挺方便的?

但是,在日常工作中你可能还想要实时看到Sonar分析的结果,这样可以大幅提高修改代码的效率。为此,我们可以在IDE中引入SonarLint插件。你可以通过IDE的plugin(插件)管理界面安装SonarLint。

安装完成后重启IDE,你就可以在IDE环境中实时看到Sonar的静态分析结果了,如图6所示。

图6 在IDE中直接查看静态扫描结果

另外,在IDE中绑定SonarQube,就可以把SonarLint和SonarQube集成在一起了,如图7所示。集成完成后,IDE本地的代码扫描就能使用SonarQube端的静态代码规则库了,在企业级的项目中,一般要求所有开发人员都使用统一的静态代码规则库,所以一般都会要求本地IDE的SonarLint与SonarQube集成。

图7 IDE中的SonarLint和SonarQube绑定

目前,自动静态扫描通常都会和持续集成的流水线做绑定,最常见的应用场景是当你递交代码后,持续集成流水线就会自动触发自动静态扫描,这一功能是通过Jenkins以及Jenkins上的SonarQube插件来完成的,当你在Jenkins中安装了SonarQube Plugin,并且将SonarQube服务器相关的配置信息加入Plugin之后,你就可以在Jenkins Job的配置中增加Sonar静态扫描步骤了。

总结

人工静态方法,主要有代码走查、结对编程和同行评审三种常用方法。在工程实践中,同行评审因为可以保证代码质量、效率高、责任明确等特点,已经被广泛采用。

自动静态方法,因为自动化程度高、成本低、发现的代码问题广等特点,是常用的代码级测试方法。

在这里,测试工程师需要完成代码静态扫描环境的搭建,考虑到你以前可能没有接触过Sonar,我按照step by step的思路,带你一起搭建了一套代码静态扫描环境,并分享了一个Maven项目代码静态扫描的实例。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/617767.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

QEMU源码全解析 —— PCI设备模拟(7)

接前一篇文章&#xff1a; 上一回讲解了pci_edu_realize函数中的pci_register_bar函数&#xff0c;本回开始对于edu设备的MMIO读写函数进行解析。 操作系统与PCI设备交互的主要方式是PIO和MMIO。MMIO虽然是一段内存&#xff0c;但是其没有EPT映射&#xff0c;在虚拟机访问设备…

Smallpdf扫描、转换、压缩、编辑、签名PDF

【应用名称】&#xff1a;Smallpdf: 扫描、转换、压缩、编辑、签名PDF 【适用平台】&#xff1a;#Android 【软件标签】&#xff1a;#Smallpdf 【应用版本】&#xff1a;1.71.0 【应用大小】&#xff1a;150MB 【软件说明】&#xff1a;通过 Smallpdf&#xff0c;您可以&…

数据结构 模拟实现二叉树(孩子表示法)

目录 一、二叉树的简单概念 &#xff08;1&#xff09;关于树的一些概念 &#xff08;2&#xff09;二叉树的一些概念及性质 定义二叉树的代码&#xff1a; 二、二叉树的方法实现 &#xff08;1&#xff09;createTree &#xff08;2&#xff09;preOrder &#xff08;…

资源三号03星-立体测绘卫星星座

资源三号03星作为我国民用高分辨率立体测图卫星资源三号系列的第三颗卫星&#xff0c;在资源三号02星技术状态的基础上进行了继承和适当优化&#xff0c;设计寿命由资源三号02星的5年延长至8年&#xff0c;星上搭载了三线阵立体测绘相机、多光谱相机和业务化应用的激光测高仪&a…

【模型评估 07】过拟合与欠拟合

在模型评估与调整的过程中&#xff0c;我们往往会遇到“过拟合”或“欠拟合”的情况。如何有效地识别“过拟合”和“欠拟合”现象&#xff0c;并有针对性地进行模型调整&#xff0c;是不断改进机器学习模型的关键。特别是在实际项目中&#xff0c;采用多种方法、从多个角度降低…

C#使用CryptoStream类加密和解密字符串

目录 一、CrytoStream的加密方法 二、CrytoStream的解密方法 三、实例 1.源码Form1.cs 2.类库Encrypt.cs 3.生成效果 在使用CryptoStream前要先引用命名空间using System.Security.Cryptography。 一、CrytoStream的加密方法 记住&#xff0c;不能再使用DESCryptoServi…

DrGraph原理示教 - OpenCV 4 功能 - 边界填充

今天简单来看一下OpenCV中的边界填充 param src Source image. param dst Destination image of the same type as src and the size Size(src.colsleftright, src.rowstopbottom) . param top the top pixels param bottom the bottom pixels param left the left pixels par…

Photoshop 2024 (PS2024) v25 直装版 支持win/mac版

Photoshop 2024 提供了多种创意工具&#xff0c;如画笔、铅笔、涂鸦和渐变等&#xff0c;用户可以通过这些工具来创建独特和令人印象深刻的设计效果。增强的云同步&#xff1a;通过 Adobe Creative Cloud&#xff0c;用户可以方便地将他们的工作从一个设备无缝同步到另一个设备…

STM32L051使用HAL库操作实例(14)- ADC采集电压

目录 一、前言 二、ADC外设简要说明 三、STM32CubeMX配置&#xff08;本文使用的STM32CubeMX版本为6.1.2&#xff09; 1.MCU选型 2.时钟使能 3.外部时钟配置 4.串口配置 5.ADC引脚配置 6.配置STM32CubeMX生成工程文件 7.点击GENERATE CODE生成工程文件 四、工程源码 …

Python基础知识:整理13 利用pyecharts生成折线图

首先需要安装第三方包pyecharts 1 基础折线图 # 导包&#xff0c;导入Line功能构建折线图对象 from pyecharts.charts import Line # 折线图 from pyecharts.options import TitleOpts # 标题 from pyecharts.options import LegendOpts # 图例 from pyecharts.options im…

mp4文件全部转换为mp3

问题 今天突发奇想&#xff0c;想把mp4视频转换为mp3来收听&#xff0c;于是想到了ffmpeg工具 步骤 安装ffmpeg环境 要在 Windows 上配置 FFmpeg 环境&#xff0c;你可以按照以下步骤进行操作&#xff1a; 下载 FFmpeg&#xff1a; 首先&#xff0c;你需要下载 FFmpeg 的 W…

一个成功的camera案例:ros2+gazebo+摄像头

各位看&#xff1a;随着大物体的移动&#xff0c;在涉嫌头的位置也发生了改变-----右上角那个/camera的位置也变了 右上角那个是摄像头图案&#xff0c;以下是仓库链接&#xff1a; ros-ign-gazebo-camera: https://github.com/arashsm79/ros-ign-gazebo-camera.git一个ros2摄…

初识物联网

1&#xff1a;什么是IOT&#xff1a; 物联网的英文名称是Internet of Things。IoT则是Internet of Things的缩写。因此, 物联网 IoT。 通俗地说&#xff0c;物联网是互联网的一种拓展。我们知道互联网是由无数的计算机和智能手机交错连接而编织成的一张网。而正是有了像NodeM…

Spring Cloud + Vue前后端分离-第12章 通用权限设计

源代码在GitHub - 629y/course: Spring Cloud Vue前后端分离-在线课程 Spring Cloud Vue前后端分离-第12章 通用权限设计 这一章我们不依赖第三方框架&#xff0c;我会从权限相关表的设计&#xff0c;到权限的配置&#xff0c;到权限的拦截&#xff0c;带大家一步一步的做出…

文章解读与仿真程序复现思路——电网技术EI\CSCD\北大核心《考虑新能源配网三相不平衡治理的电动汽车充电策略》

本专栏栏目提供文章与程序复现思路&#xff0c;具体已有的论文与论文源程序可翻阅本博主免费的专栏栏目《论文与完整程序》 这个标题表明研究着重于开发一种电动汽车充电策略&#xff0c;该策略考虑了在新能源配电网络中存在的三相不平衡问题。解读如下&#xff1a; 电动汽车充…

Typora上传图片失败PicGo

起初我是在Typora中点击一键上传图片&#xff0c;结果如下&#xff0c;报错。可是我找了半天也没错啊。 最后发现原来是一个图片的命名问题&#xff0c;名字太过于复杂&#xff0c;PicGo识别不出&#xff0c;一个图片报错导致其它也上传不了。 我把它复制到其它文件夹之后&…

【QUARTZ】springboot+quartz动态配置定时任务

Quartz 介绍 Quartz 定时任务可分为Trigger&#xff08;触发器&#xff09;、Job&#xff08;任务&#xff09;和Scheduler&#xff08;调度器&#xff09;&#xff0c;定时任务的逻辑大体为&#xff1a;创建触发器和任务&#xff0c;并将其加入到调度器中&#xff0c;如下图所…

webpack原理和逆向实战

文章目录 什么是webpackwebpack基本原理webpack代码分析webpack代码抠取webpack全模块自吐webpack自动扣取总结 什么是webpack webpack是一个现代 JavaScript 应用程序的静态模块打包器(module bundler)&#xff0c;负责分析翻译压缩打包代码。 上面的官网的一张示例图。 web…

大数据实时抓取软件:Maxwell学习网站的高效框架!

介绍&#xff1a;Maxwell是由美国Zendesk开源的&#xff0c;使用Java编写的MySQL实时抓取软件。它能够实时读取MySQL的二进制日志&#xff08;Binlog&#xff09;&#xff0c;并将这些信息生成为JSON格式的消息。进一步地&#xff0c;Maxwell将这些消息作为生产者发送给Kafka、…

Springboot项目Nacos做配置中心

Springboot项目Nacos做配置中心 说明安装2.Springboot整合使用Nacos3.问题处理 说明 文档参考 Nacos Spring Boot 安装 查看nacos镜像 docker search nacos 下载镜像 docker pull nacos/nacos-server启动naocs镜像 docker run --env MODEstandalone --name nacos -d -p 8…