静态代码检查

静态测试是指不运行被测程序本身，通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性。而动态测试是通过运行被测程序来检查运行结果与预期结果的差异，并分析运行效率和健壮性等指标。静态测试被测对象是各种与软件相关的有必要进行测试的产物，是对需求规格说明书、软件设计说明书、源程序做结构分析、流程图分析、符号执行来找错。静态测试可以手工进行，充分发挥人的思维的优势，并且不需要特别的条件，容易展开，但是静态测试对测试人员的要求较高，至少测试人员需要具有编程经验。静态测试主要包括各阶段的评审、代码检查、程序分析、软件质量度量等，用于对被测程序进行特性分析。其中评审通常有人来执行；代码检查程序分析、软件质量度量等即可人工完成，也可用工具来完成，但工具的作用和效果相对更大更好一些。

从上面我们可以了解到代码检查是静态测试中的关键一步，那么代码检查到底是个什么工作内容吗？

代码检查包括代码走查、桌面检查、代码审查等，主要检查代码和设计的一致性，代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性等方面；可以发现违背程序编写标准的问题，程序中不安全、不明确和模糊的部分，找出程序中不可移植部分、违背程序编程风格的问题，包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。从代码检查的定义中我们可以看出代码检查不需要自动任何服务就可以通过代码扫描完成，全部过程都是按照预定义好的规则完成的，只要针对不同的编程语言设计好不同的规则就可以对其进行代码扫描，完成代码检查任务了。如果能将其放到一个工具中完成，那么人工可以完全不参与，是一个完全自动化的流程。这也就导致了通过代码扫描完成的代码检查工作只是一个代码预定规则的检查，并不能保障其编写逻辑符合预期设计，同时如果预定规则不合理那么代码扫描的结果的偏差就会很大。

新工具Qodana

从上面的内容可以看出，代码扫描虽然尤其优越性也有其弊端，但是如果有很好的开放性的工具完成，通过修订并选取合适的规则是可以达到质量保障的预期的。在代码扫描的工具上选择并不多，如果站在平台化、服务化的角度，并且兼顾CI流水线的需求。每次说到静态代码扫描，相信所有人第一个想到的就是SonarQube，除了SonarQube我今天给你介绍一款JetBrains Qodana，Qobana 是 JetBrains 系列工具的新代码质量平台。官方地址如下：https://www.jetbrains.com/qodana

使用方法

Qodana提供了Docker的运行方式，那么我们仅需要拉取对应的docker image就可以在呢运行了，具体步骤如下:

- 1、 拉取Qodana的linter 镜像

docker pull jetbrains/qodana-<linter>

其中，Qodana的linter目前提供的种类如下：

具体可以进入官网自己查看。但运行pull命令后，如下：

- 2、当下载结束后，可以通过如下命令，进行扫描了。

docker run --rm -it -v <project-root-directory>/:/data/project/  -p 8080:8080 jetbrains/qodana-<linter> --show-report

- 3、当分析结束后，进入 http://localhost:8080，就可以看到结果了。

在第一次运行期间，Qodana仅使用重要检查指标来分析被测试项目。非重要检查和包含非重要代码的文件夹（如 Tests 文件夹）将被忽略。Qodana还报告了任何可能影响结果真实性或完整性的情况。例如，如果项目依赖于外部资源或生成的代码，而这些资源或生成的代码在分析过程中不可用，则最终结果可能会受到影响，Qodana会通知此类可疑结果。

Qodana提供了建立技术债的baseline的功能，这样我们就可以在baseline之上完成技术债的偿还。（Qodana将baseline存入qodana.sarif.json文件中）。下次一检测我们就可以基于这个baseline进行分析。

docker run -p 8080:8080 -v <project-root-directory>:/data/project jetbrains/qodana-<linter> --show-report --baseline=baseline.sarif.json

具体Qodana好不好用，你可以在自己的项目中试一下。