[[389027]]

【51CTO.com快譯】眾所周知，代碼審查不但可以提高代碼庫(kù)的質(zhì)量，而且能夠避免開發(fā)人員將程序中的錯(cuò)誤和問題傳遞給其他團(tuán)隊(duì)成員。不過，手動(dòng)執(zhí)行代碼審查既費(fèi)時(shí)又費(fèi)力。這就是為什么許多開發(fā)團(tuán)隊(duì)會(huì)使用自動(dòng)化工具，來完成此項(xiàng)工作的原因。

通過自動(dòng)化流程，此類代碼審查工具可以提高代碼的質(zhì)量，節(jié)省寶貴的開發(fā)時(shí)間，并且讓開發(fā)人員更專注于構(gòu)建應(yīng)用，而不必反復(fù)地檢查代碼。此外，作為靜態(tài)分析和單元測(cè)試框架，自動(dòng)化代碼審查工具不但能夠滿足業(yè)務(wù)所需的速度和敏捷性，還可以提供更快的反饋、更好的代碼質(zhì)量、以及更少的產(chǎn)品轉(zhuǎn)化時(shí)間。

通過長(zhǎng)時(shí)間的迭代，目前自動(dòng)化的代碼審查工具不但高效、準(zhǔn)確，而且可以實(shí)現(xiàn)自定義。下面，我將和您一起探討目前五種優(yōu)秀的自動(dòng)化代碼審查工具，并且通過對(duì)比每一種工具的優(yōu)缺點(diǎn)，以方便您在實(shí)際項(xiàng)目中做出適合的選擇。

1.CodeBeat

CodeBeat是一種流行的代碼審查工具，它可以提供自動(dòng)化的代碼審查與反饋。在從1到4級(jí)的通用等級(jí)代碼審查標(biāo)準(zhǔn)中，它屬于第4級(jí)工具。CodeBeat支持諸如Python、Ruby、Java、Javascript、Golang、以及Swift等多種語(yǔ)言。

通過提供團(tuán)隊(duì)管理工具，CodeBeat可以輕松地分析代碼，并在團(tuán)隊(duì)中出現(xiàn)開發(fā)人員調(diào)整時(shí)，保持代碼的一致性。由于能夠與Github、Gitlab、Bitbucket、Slack和Hipchat等許多流行工具相集成，因此開發(fā)人員和軟件團(tuán)隊(duì)都可以在項(xiàng)目中協(xié)同使用CodeBeat。

CodeBeat的優(yōu)勢(shì)包括：

• 提供帶有項(xiàng)目審查的集成式儀表板
• 可對(duì)發(fā)現(xiàn)的問題按照復(fù)雜性、重復(fù)性、以及代碼層面的分類
• 提供對(duì)于目標(biāo)項(xiàng)目中的電子郵件地址更新，并能持續(xù)檢查拉取請(qǐng)求的代碼質(zhì)量
• 提供即時(shí)的反饋，并能以“快贏(quick wins)”的方式，來提高代碼庫(kù)的質(zhì)量
• 所需的設(shè)置最少，并易于集成與使用

CodeBeat的缺點(diǎn)包括：

• 缺乏安全性分析
• 缺乏對(duì)開源工具和linter工具的支持

總的說來，CodeBeat不但完全免費(fèi)開源，而且能夠?yàn)榇笮蛨F(tuán)隊(duì)提供企業(yè)級(jí)支持，以識(shí)別那些復(fù)雜、且可能重復(fù)的代碼。

2.DeepSource

DeepSource可以針對(duì)各種流行的通用編程語(yǔ)言，提供自動(dòng)化的代碼分析。目前，它能夠支持Python、Javascript、Golang、Ruby、以及Java等語(yǔ)言。憑借著單文件配置，DeepSource能夠讓針對(duì)每一次提交和拉取請(qǐng)求的持續(xù)分析，變得更加容易。

DeepSource可以檢查各種性能問題、類型問題、樣式問題、文檔問題、缺陷風(fēng)險(xiǎn)、以及各種反模式。通過明確定義待現(xiàn)實(shí)的目標(biāo)，它可以讓開發(fā)人員和維護(hù)人員管理其代碼庫(kù)，并簡(jiǎn)化代碼的審查過程。

DeepSource的優(yōu)勢(shì)包括：

• 單文件配置，可用于自動(dòng)化代碼分析
• 可與Travis CI和Circle CI等持續(xù)集成管道相整合
• 支持black、rubocop和gofmt等代碼格式化程序
• 提供橫跨代碼庫(kù)的常見問題自動(dòng)化修復(fù)
• 提供針對(duì)每個(gè)問題和拉取式請(qǐng)求的分析

DeepSource的缺點(diǎn)包括：

• 缺乏針對(duì)PHP、C++和Rust的支持
• 缺乏對(duì)于Azure DevOps的支持

總的說來，DeepSource不但完全免費(fèi)開源，而且能夠?yàn)榇笮蛨F(tuán)隊(duì)提供企業(yè)級(jí)支持。其分析器不但可以工作在文件級(jí)和存儲(chǔ)庫(kù)級(jí)，并且能夠提供比其他分析器和代碼查看工具更低的誤報(bào)率。

3.CodeClimate

CodeClimate旨在通過提供從提交到部署(commit-to-deploy)的可見性，以提高團(tuán)隊(duì)的工作效率。其工程智能化(Engineering Intelligence)可以在“速度”上簡(jiǎn)化持續(xù)交付;并在“質(zhì)量”上為每一個(gè)提交和提取式請(qǐng)求，提供自動(dòng)化的代碼審查。

CodeClimate可以根據(jù)各種參數(shù)(包括代碼重復(fù)率、代碼風(fēng)格等)，提供從A到F的可維護(hù)性評(píng)分等級(jí)，并能夠方便用戶根據(jù)測(cè)試覆蓋率、或技術(shù)債的變化，來確定瓶頸與發(fā)展趨勢(shì)。

CodeClimate的優(yōu)勢(shì)包括：

• 能夠借助自動(dòng)化的Git更新，來簡(jiǎn)化安裝
• 在代碼庫(kù)中識(shí)別出各個(gè)“熱點(diǎn)”，以標(biāo)記需要重構(gòu)的部分
• 通過提供安全儀表板，來識(shí)別應(yīng)用程序中的漏洞
• 提供可在本地用于自動(dòng)化代碼審查的API
• 可通過郵件和RSS反饋，來提供警報(bào)和實(shí)例的通知
• 能與VS Code和Atom等集成開發(fā)環(huán)境(IDE)相整合
• 可通過名為“cc-test-reporter”的軟件庫(kù)，來測(cè)試覆蓋率

CodeClimate的缺點(diǎn)包括：

• 缺乏對(duì)于問題的描述、搜索、以及過濾
• 缺乏可定制能力，且售價(jià)較高
• 由于無法提供用于識(shí)別核心復(fù)雜性(例如文件長(zhǎng)度和復(fù)雜度)的規(guī)則，因此其誤報(bào)率比較高

4.Codacy

Codacy是個(gè)人開發(fā)者和軟件開發(fā)團(tuán)隊(duì)最常用的自動(dòng)化代碼審查工具之一。它能夠支持包括Python、Java、Javascript、C/C++、Ruby、以及Golang在內(nèi)的各種通用編程語(yǔ)言。Codacy可以對(duì)代碼的復(fù)雜性、易錯(cuò)點(diǎn)(error-prone)、安全性、代碼樣式、兼容性、文檔和性能等問題進(jìn)行審查。

Codacy的優(yōu)勢(shì)包括：

• 通過最小化安裝，來實(shí)現(xiàn)自動(dòng)化的代碼檢查
• 能夠與包括GitHub、GitLab、GitHub Actions、CircleCI等服務(wù)相集成
• 通過協(xié)助定義項(xiàng)目的特定目標(biāo)，來提供實(shí)現(xiàn)目標(biāo)的建議
• 可分析拉取式請(qǐng)求、以及單獨(dú)的提交
• 可通過濾除各種“噪點(diǎn)”和重復(fù)性，來專注于新出現(xiàn)的問題
• 提供了易用且直觀的用戶界面，可協(xié)助開發(fā)人員輕松地管理其代碼
• 允許開發(fā)人員保存完整的代碼質(zhì)量，以及對(duì)代碼的純凈度進(jìn)行審查

Codacy的缺點(diǎn)包括：

• 缺乏對(duì)于問題的搜索能力(個(gè)別過濾器除外)
• 缺乏對(duì)于導(dǎo)出代碼模式提供支持

5.Veracode

Veracode可被用于代碼審查、自動(dòng)化測(cè)試、以及提高代碼庫(kù)的效率。它支持包括Python、Java、Javascript、以及Golang在內(nèi)的多種通用編程語(yǔ)言。Veracode能夠提供兩種代碼檢查工具：靜態(tài)分析和軟件組成分析。其中，靜態(tài)分析工具可以方便開發(fā)人員找到各種錯(cuò)誤和反模式，并在代碼投入生產(chǎn)環(huán)境之前進(jìn)行修復(fù)。而軟件組成分析則可以在代碼庫(kù)中，使用第三方程序包來識(shí)別漏洞。

Veracode的優(yōu)勢(shì)包括：

• 易于配置和快速上手
• 提供二進(jìn)制掃描，以減少對(duì)于代碼的誤報(bào)
• 可指出代碼中的真實(shí)漏洞，并提出解決方案
• 提供可自定義的儀表板，并帶有直觀、友好的用戶界面

Veracode的缺點(diǎn)包括：

• 缺乏可定制的分析規(guī)則
• 用戶使用體驗(yàn)欠佳

總的說來，由Veracode提供的代碼分析平臺(tái)可方便開發(fā)人員查看、分析和修復(fù)代碼中的安全漏洞。同時(shí)，通過與SDLC的集成，Veracode還可以協(xié)助開發(fā)人員驗(yàn)證目標(biāo)代碼是否符合OWASP Top 10，以及其他實(shí)踐標(biāo)準(zhǔn)。

原文標(biāo)題：Automated Code Review Tools for Developers in 2021，作者: Saif Sadiq

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】