DevOps on DevCloud|代码检查服务如何降低“Billion Dollar Mistake” NPE风险
作者:伦语春秋 敏而至善引言:在“DevOps能力之屋(Capabilities House of DevOps)”中,华为云DevCloud提出(工程方法+最佳实践+生态)×工具平台=DevOps能力。华为云DevCloud将持续推出“DevOps on DevCloud”系列,按场景阐述在华为云DevCloud上的实施方法与实践。本文将聚焦阐述如何使用华为云DevCloud代码检查服务...
作者:伦语春秋 敏而至善
引言:在“DevOps能力之屋(Capabilities House of DevOps)”中,华为云DevCloud提出(工程方法+最佳实践+生态)×工具平台=DevOps能力。华为云DevCloud将持续推出“DevOps on DevCloud”系列,按场景阐述在华为云DevCloud上的实施方法与实践。本文将聚焦阐述如何使用华为云DevCloud代码检查服务来防止Java NPE(Null Pointer Exception)问题。
在“如何构建Kotlin开发的Android Apps”一文曾指出“空安全(Null Safety)”是Kotin最吸引Java开发者的特性之一, Kotlin类型系统的目标是消除Null reference的危险性。Tony Hoare在2019年QCon London上将Null reference称为“my billion-dollar mistake”。所谓Null reference是许多编程语言最为常见的陷阱之一,指的是访问Null reference的成员将导致null reference exception。在Java语言中,Null reference通常等同于NullPointerException(即NPE)。
对于Java开发者来讲,或许只有处理过了NPE,才能成为一名真正的Java开发者。NPE通常来讲,会来自于以下场景:
- 调用了一个空对象的实例方法;
- 访问或者修改一个空对象的域成员;
- 当数组是一个空对象时,取它的长度;
- 对数组中的某些null元素进行范文或者修改;
- 将null当做Throwable值抛出
如何防止NPE,简单来讲,主要是两点要素:手段与方法、意识与经验。Java开发者可以参考以下最佳实践来防空:
- 通过已知字符串常量而不是未知对象来调用equals()与equalsIgnoreCase()方法
- 在valueOf()与toString()返回相同结果的地方优先使用valueOf()
- 使用null安全的方法与库
- 避免从方法中返回null,而是返回空的collection或者array
- 使用注解@NotNull和@Nullable
- 在代码中避免不必要的autoboxing和unboxing
- 遵循Contract并定义合理的缺省值
- 在Java 8中使用Optional
- 双重入参校验
尽管Java开发者能力对于防空是至关重要的,然而人难免会有所失误。为了进一步降低风险,华为云DevCloud建议项目或者产品团队使用代码检查服务来检查是否存在NPE。
1. 准备工作
1.1 示例工程
Code4Benchmark是采用Java开发的示例工程,希望用于评估代码质量评估工具或者云服务对代码问题的检查能力,例如空指针(Null Pointer)、资源泄露、SQL注入(SQL Injection)等。
对于空指针场景,目前主要是显式解引用、前置判空、后置判空、空返回值等,代码片段如下:
- 显式解引用: 直接对null对象解引用
void alwaysCauseNPE(){
String s = null; System.out.println(s.length());
}
- 前置判空 :对象前面有判空,后面解引用
void forwardMayCauseNPE(String s){
if (s != null){
dummy();
}
System.out.println(s.length());
}
- 后置判空 :对象后面有判空,前面解引用
void reverseMayCauseNPE(String s){
System.out.println(s.length());
if (s != null){
dummy();
}
}
- 空返回值 :空返回值直接解引用
void mayCauseNPE(){
Pointers.A a = Pointers.mayReturnNull(-10);
a.method();
}
public static A mayReturnNull(int i){
if (i > 0){
return new A();
}
return null;
}
Code4Benchmark完整代码可以参考https://github.com/supremeGoodness/Code4Benchmark.git。
1.2 创建项目及代码库
开发者可以访问华为云DevCloud,登录后在首页新建项目,选择“空白项目”的Scrum或者看板之一,输入项目名称(例如:CodeCheckBenchmark)即可创建项目。
在访问CodeCheckBenchmark项目,并进入“代码”-“代码托管”后,可以点击“新建”-“导入外部仓库”来创建仓库,输入github上的仓库地址(https://github.com/supremeGoodness/Code4Benchmark.git)。后续步骤接受默认值即可创建仓库。
图1 导入外部仓库来新建代码仓库
2. 检查代码
通常情况下,使用华为云DevCloud进行代码检查非常简单:新建代码检查任务然后执行此任务即可。当前前提是默认的规则集“通用检查规则集”满足代码质量的要求。用户可以在任务的“设置”-“规则集”中选择系统内置的其它规则集(例如“全面检查规则集”)或者自定义的规则集。接下来,我们通过自定义规则集的方式来进行NPE问题的检查。
2.1 自定义规则集
在访问CodeCheckBenchmark项目,并进入“代码”-“代码检查”后,在“规则集”页面“新增规则集”,输入规则集名称rs-npe-java、检查语言等,如图2所示。然后在规则集的配置页面,将“Correctness - Nullcheck of value previously dereferenced”、“Null dereference”、“Correctness - Possible null pointer dereference”等规则从“未启用”规则中选中保存以变为“已启用”规则
图2 新建检查规则集
图3 配置规则集
2.2 创建检查任务并设置规则集
在访问CodeCheckBenchmark项目,并进入“代码”-“代码检查”后,在“任务”页面“新建任务”,选择代码仓库Code4Benchmark、输入任务名称cc-Code4Benchmark等完成任务创建。如图4所示为创建后的任务概览。
图4 创建后的任务概览
在cc-Code4Benchmark任务中,通过“设置”来配置自定义的规则集rs-npe-java,如图5所示。
图5 为任务选择自定义的规则集
2.3 执行检查任务
在cc-Code4Benchmark任务中,可以点击“开始检查”。在检查完成后,在“概览”页面查看检查结果,如图6所示。在概览中,我们可以发现检测出4个问题。
图6 任务检查结果概览
3. 分析与修改
在cc-Code4Benchmark任务中,在“概览“页点击未解决问题的数量,或者点击“代码问题”,可以查看问题详情。对于每一个问题,可以根据“修改建议”进行相关的问题修订。
图7 问题详情与修改建议
NPE是Java开发中的经典问题,华为云DevCloud代码检查服务提供的规则不止本文提到的3条规则,具体可以在“规则”中查看。在实际的项目开发中,用户可以直接选择“全面检查规则”来进行全方位的代码质量检测,以提升代码质量。
W. Edwards Deming曾说过“Inspection is too late. Quality cannot be inspected into a product or servive. It must be built into it.”本质上,软件质量取决于工程师的意识、能力、方法与技能。然而,工程师的意识、能力、方法与技能需要不断提升。因而,华为云DevCloud代码检查服务在软件交付中仍然具有举足轻重的地位,不仅可以及时发现代码质量问题,而且可以强化工程师的预期行为,有助于提升工程师的意识、能力、方法与技能。
更多推荐
所有评论(0)