静态分析与代码质量工具

第 24 章 · 软件工程

不跑代码，也能揪出一堆问题。 静态分析只读源码和配置，不执行程序，就能发现风格违规、潜在 bug、类型错误、安全漏洞模式。Linter、类型检查、安全扫描是常见手段；再加上质量门禁与度量（复杂度、重复率、覆盖率），就能在合并或发布前把「底线」守住。本章讲静态分析是什么、常用工具类型、质量门禁与度量，以及工具链集成。

一、静态分析：不运行代码即可发现问题

静态分析（Static Analysis）在未执行程序的情况下，对源代码（或字节码、中间表示）进行分析，发现潜在错误、违规与坏味道。和「跑测试」不同：测试是动态的，依赖运行结果；静态分析只看结构和模式，速度快、可全量扫、能在提交前就拦下问题。典型能力包括：语法与风格检查、未使用变量、空指针/类型不匹配、安全漏洞模式（如 SQL 注入、硬编码密钥）、复杂度与重复度等。误报会有，可通过规则调优与白名单控制；整体上能显著减少「低级错误」和规范漂移。

静态分析不运行代码；测试运行动态验证，二者互补

二、Linter、类型检查、安全扫描

三类最常用的静态分析工具：

Linter

检查风格、命名、未使用变量、可疑写法（如 == 与 ===）。ESLint、Ruff、Pylint、RuboCop 等。常与 Formatter 配合：Linter 报问题，Formatter 自动排版。

类型检查

在类型化语言或带类型注解的语言中，检查类型是否一致、调用是否合法。TypeScript、mypy、Pyright、Go 编译器等。能在运行前发现「传错类型」「缺参数」等问题。

安全扫描

SAST（静态应用安全测试）：在源码中查找注入、硬编码密钥、不安全的反序列化等模式。SonarQube、Semgrep、CodeQL、各语言安全规则等。与依赖扫描（CVE）互补。

Linter、类型检查、安全扫描各司其职

三、质量门禁与度量：复杂度、重复率、覆盖率

除了「有没有报错」，还可以用度量设质量门禁：合并或发布时，若某指标不达标则不允许通过。常见度量包括：

圈复杂度

衡量分支与路径数量，过高表示难测、难维护。可设上限（如单函数 ≤ 10）作为门禁。

重复率

重复或高度相似的代码占比。高重复率增加维护成本，可设上限或要求新代码不引入重复。

覆盖率

测试覆盖的代码行/分支比例。可设最低线（如新增代码覆盖率 ≥ 80%），避免裸奔合入。

遗留问题数

Linter/安全规则等遗留告警数量。门禁可要求「不新增」或「总数下降」。

常用质量度量与门禁维度

门禁的阈值要合理：过严会阻塞交付、过松形同虚设。建议先统计当前值，再定「不恶化」或「逐步提升」的目标，并在 CI 里自动检查。

四、工具链集成

静态分析与质量度量只有进流水线才会持续生效：本地保存时或提交前跑 Linter/类型检查；CI 里跑全量 Linter、类型、安全扫描与覆盖率，不通过则不允许合并；报告与趋势可接入看板或质量平台。工具链要统一配置（如单份 ESLint/Prettier 配置进仓库），避免每人本地不一致；新规则可先设为「警告」，待清理后再改为「错误」门禁。

代码提交 → Linter → 类型检查 → 安全扫描 → 覆盖率/度量 → 门禁通过 / 失败

CI 中的静态分析与质量门禁流水线

质量门禁：通过才可合并，不通过需修复

工具链集成要点

配置进仓库：Linter、类型检查、安全规则等用同一份配置，所有人与 CI 一致。
CI 门禁：静态分析失败或度量不达标则合并失败；可区分「阻断」与「仅报告」。
渐进式收紧：新规则先警告，待存量清理后再改为错误；覆盖率等可设「新增代码」门禁。
报告与趋势：把结果接入看板或质量平台，便于跟踪与改进。

一句话： 静态分析不运行代码即可发现问题，与动态测试互补。Linter管风格与可疑写法、类型检查管类型一致、安全扫描管漏洞模式。质量门禁与度量：复杂度、重复率、覆盖率、遗留问题数等，在 CI 中设阈值，不达标则阻断合并。工具链集成：配置进仓库、CI 自动跑、门禁清晰、报告可追溯。

小贴士： 若历史代码告警很多，可先设「新代码零告警」或「本 PR 不新增告警」，再逐步清理存量；避免一上来就「全红阻断」导致无法合并。

五、小结

静态分析在不运行代码的前提下发现风格、类型、安全等问题。Linter、类型检查、安全扫描是三类常用工具。质量门禁与度量：复杂度、重复率、覆盖率等，在 CI 中设门禁，不达标则阻断。工具链集成：配置进仓库、CI 跑全量、门禁与报告清晰，新规则可渐进收紧。下一章进入敏捷与 Scrum 基础，从质量与工程实践过渡到项目管理与协作方式。