Spark Notes

Appearance

代码质量与静态分析

代码质量是软件工程的隐性债务,低质量代码会随着时间累积,最终导致系统难以维护。代码质量不是主观感觉,而是可以通过工具度量和改进的工程属性。高质量的代码易读、易测试、易维护、易扩展。

代码质量维度

可读性

可读性是代码质量的基础,代码被阅读的次数远多于被编写的次数。

命名清晰:变量、函数、类名准确表达意图,避免缩写和模糊名称。

简洁明了:函数做一件事且做好,避免过长函数和复杂嵌套。

注释适当:注释解释为什么而非做什么,代码应该自解释。

可维护性

可维护性体现在修改代码时不易引入新问题。

模块化:高内聚低耦合,模块间依赖清晰,修改影响范围小。

DRY 原则:不要重复自己,重复代码应该提取。

单一职责:类和函数只做一件事,修改原因单一。

可测试性

可测试的代码通常是高质量代码的副产品。

依赖注入:通过接口注入依赖,便于 mock 测试。

隔离副作用:纯函数无副作用,易于测试和推理。

边界清晰:输入输出明确,异常情况处理完善。

性能

性能不是过度优化,而是避免明显的性能陷阱。

合理的数据结构:根据操作特点选择合适的数据结构。

避免 N+1 查询:批量查询减少数据库访问。

缓存策略:合理使用缓存减少重复计算。

安全性

安全是代码质量不可忽视的维度。

输入验证:所有外部输入都需要验证,防止注入攻击。

最小权限:只授予必要的权限,减少攻击面。

敏感信息:密钥、密码等敏感信息不应硬编码。

静态分析

静态分析是在不运行代码的情况下分析代码质量,通过扫描源代码发现潜在问题。静态分析是代码质量保障的第一道防线,能在代码提交前发现问题。

分析维度

代码规范:检查是否符合编码规范(如 Google Java Style、PEP 8)。

潜在 Bug:检测空指针引用、资源泄漏、并发问题。

代码复杂度:计算圈复杂度、认知复杂度,识别过于复杂的函数。

代码重复:检测重复代码,提示提取公共逻辑。

依赖分析:检测循环依赖、不必要的依赖。

安全漏洞:扫描常见安全问题(SQL 注入、XSS、硬编码密钥)。

静态分析工具

SonarQube

SonarQube 是开源的代码质量管理平台,支持 25+ 编程语言。

质量门禁:设置质量阈值(如覆盖率 > 80%,零严重问题),阻止不达标代码合并。

技术债务:量化技术债务,估算修复成本。

规则库:内置 4000+ 规则,支持自定义规则。

ESLint

ESLint 是 JavaScript/TypeScript 的代码检查工具。

可配置:通过配置文件自定义规则,规则可按严重程度设置。

插件生态:丰富的插件支持(React、Vue、TypeScript)。

自动修复:部分规则可以自动修复,减少手工修改。

Pylint

Pylint 是 Python 的代码检查工具。

PEP 8 检查:检查是否符合 Python 编码规范。

代码评分:给出代码质量评分(10 分制)。

高度可配置:支持自定义规则和禁用特定检查。

Checkstyle

Checkstyle 是 Java 的代码检查工具。

编码规范:检查是否符合 Java 编码规范。

可配置:通过配置文件自定义检查规则。

IDE 集成:可与 IntelliJ IDEA、Eclipse 集成。

代码度量

圈复杂度

圈复杂度衡量函数的独立路径数量,值越高越复杂。

计算方式:圈复杂度 = 判定节点数 + 1,判定节点包括 if、for、while、case。

阈值建议:函数圈复杂度不超过 10,复杂算法不超过 20。

认知复杂度

认知复杂度衡量代码理解的难易程度,更贴近人类感知。

嵌套惩罚:深层嵌套大幅增加认知复杂度。

逻辑短路:&&、|| 增加认知负担。

阈值建议:函数认知复杂度不超过 15。

代码重复率

代码重复率 = 重复代码行数 / 总代码行数。

重复问题:重复代码导致修改需要多处同步,增加维护成本。

阈值建议:重复率低于 5%,超过 10% 需要重构。

测试覆盖率

测试覆盖率 = 被测试执行的代码行数 / 总代码行数。

覆盖率类型:行覆盖率、分支覆盖率、函数覆盖率。

阈值建议:核心模块 > 80%,整体 > 60%。

重构实践

重构是改善代码质量而不改变外部行为的技术。

重构时机

三次法则:第一次直接做,第二次类似时皱眉,第三次时重构。

添加功能时:添加新功能时发现现有代码阻碍,先重构再添加。

修复 Bug 时:修复 Bug 时发现代码难以理解,重构便于后续维护。

代码审查时:审查发现重复代码、复杂逻辑,提出重构建议。

常用重构手法

提取函数:将长函数拆分为多个小函数,每个函数做一件事。

提取变量:将复杂表达式提取为命名变量,提高可读性。

内联函数:如果函数本体比函数名更清晰,则内联该函数。

以函数调用取代参数:当参数列表过长时,将参数封装为对象。

引入参数对象:将一组相关参数封装为对象。

用多态替代条件式:用继承和多态替代复杂的 switch/if-else。

重构安全

测试保护:重构前后运行测试,确保功能不变。

小步重构:每次只做一个小改动,频繁提交。

版本控制:使用 Git 分支进行重构,完成后合并。

代码审查:重构后的代码需要审查,确保逻辑正确。

代码质量最佳实践

制定规范:团队制定统一的编码规范,并使用工具强制执行。

自动化检查:将静态分析集成到 CI,阻止低质量代码合并。

定期清理:每个迭代安排时间清理技术债务,不要无限累积。

度量追踪:定期追踪代码质量指标,关注趋势而非绝对值。

持续改进:根据代码审查反馈更新检查清单,改进编码规范。

代码质量是长期投资,高质量代码初期开发可能较慢,但长期维护成本大幅降低。建立代码质量保障体系需要工具、流程和文化的协同配合。