26 | 深入浅出之静态测试方法

人工静态方法

• 代码走查
• 结对编程
• 同行评审（提交到git后，同事审核。最常用）

自动静态方法

自动静态方法，主要有以下三个特点：

•         相比于编译器，可以做到对代码更加严格、个性化的检查；
•         不真正检测代码的逻辑功能，只是站在代码本身的视角，基于规则，尽可能多地去发现代码错误；
•         由于静态分析算法并不实际执行代码，完全是基于代码的词法分析、语法分析、控制流分析等技术，由于分析技术的局限性以及代码写法的多样性，所以会存在一定的误报率

CI/CD

        目前，自动静态扫描通常都会和持续集成的流水线做绑定，最常见的应用场景是当你递交代码后，持续集成流水线就会自动触发自动静态扫描，这一功能是通过 Jenkins 以及 Jenkins 上的 SonarQube 插件来完成的，当你在 Jenkins 中安装了 SonarQube Plugin，并且将 SonarQube 服务器相关的配置信息加入 Plugin 之后，你就可以在 Jenkins Job 的配置中增加 Sonar 静态扫描步骤了。

扫描工具：

• sonar  支持java等语言（可以自定义规则）

• pylint  支持Python