一、代码静态检查
使用 SVACE 静态检查系统,每天都会有检查报告。
静态检查问题举例:
1.FALL_THROUGH
使用 switch-case 时,出现 one case falls through to the next case 情况。
2.FB.BC_UNCONFIRMED_CAST
使用类型转换时,出现 Unchecked/unconfirmed cast from ... to ... 情况。
3.FB.RV_RETURN_VALUE_IGNORED_BAD_PRACTICE
调用有返回值的方法时,忽略掉了返回值。
4.FB.ST_WRITE_TO_STATIC_FROM_INSTANCE_METHOD
在实例方法中修改静态变量的值。
5.NO_LOCK.STAT.EX
使用变量时没有加锁,然而该变量在其它地方使用时都有加锁。
二、代码安全审查
使用安全审查系统,一年提交一次审查。
安全审查问题举例:
1.open_ad_sdk.aar(文件安全)
问题描述:This code will change path "/data/user/0/xxx/cache/Download" permission to "777"
对应文件:class com.bytedance.sdk.openadsdk.downloadnew.a
class LibHolder
修改要求:Change permissions to "664" or lower.
2.open_ad_sdk.aar(网络安全)
问题描述:HostnameVerifier always returns true without verifying any host name
对应文件:class HTTPSTrustManager
修改要求:The configuration makes the HTTPS connection easy to suffer MITM() attack.
Suggestion: to check the host name in HostnameVerifier, verify the server certification or use SSLSocketFactory.STRICT_HOSTNAME_VERIFIER mode in TLSSocketFactory.
3.open_ad_sdk.aar(密码安全)
问题描述:Some symmetric secret keys are written in code.
Although these secret keys are in base64 form, they are decoded easily.
对应文件:class com.bytedance.sdk.openadsdk.core.b
class com.bytedance.sdk.openadsdk.core.a
修改要求:1: the first two letters are not used for secret key.
2: some keys are repeated twice or more times, and then get substring of the concatenated keys.
三、软件架构成熟度
使用 CQA 系统,每天都会有检查报告。
SAM(S/W Architecture Maturity,软件架构成熟度)指标:
1.CC(Cyclomatic Complexity)圈复杂度
① 定义
圈复杂度也称为条件复杂度,是模块结构复杂度的度量,数量上表现为独立路径的条数,即合理的预防错误所需测试的最少路径条数。
② 计算方法
圈复杂度 =(1 + ifs + loop + case),其中
ifs:number of if, else if,else statements in the current function
loop:number of for, while, and do-while statements in the current function
case:the number of switch branches in the function (without default)
③ 阈值
| Cyclomatic Complexity | Risk Evaluation |
|---|---|
| 1-10 | 一个没有太大风险的简单模块 |
| 11-20 | 具有中等风险的更复杂模块 |
| 21-50 | 高风险的复杂模块 |
| 51 and greater | 风险极高的不稳定项目 |
④ 降低方法
分两个方向降低圈复杂度,一是拆分函数,二是尽量减少 if、else、while、case 等这些流程控制语句。
2.DC(Duplicate Code)重复代码
3.MCD (Module Circular Dependency) 模块循环依赖
① 定义
模块循环依赖是指两个或多个模块之间相互依赖,形成了一个循环的依赖关系。
② 解决方法
- 重构代码,将相互依赖的模块分离出来,使它们不再相互依赖。
- 使用中间件,将相互依赖的模块分离出来,使它们不再相互依赖。
4.CBO(Coupling Between Objects)对象间耦合
① 定义
类耦合也称为对象间耦合,类耦合是衡量单个类使用多少类的指标。
② 解决方法
遵循单一职责原则,分离职责,减少类耦合。
5.LOC(Lines Of Code of class)代码行数
① 定义
代码行数是一种用于衡量软件规模的指标,他表示源代码中的代码行数。
② 减少方法
精简代码,进行模块化设计,减少不必要的代码行数。
6.DEP(Dependency Complexity)模块依赖复杂度
7.GM(God Module)上帝模块
