[[389027]]

【51CTO.com快譯】眾所周知，代碼審查不但可以提高代碼庫的質(zhì)量，而且能夠避免開發(fā)人員將程序中的錯誤和問題傳遞給其他團(tuán)隊成員。不過，手動執(zhí)行代碼審查既費(fèi)時又費(fèi)力。這就是為什么許多開發(fā)團(tuán)隊會使用自動化工具，來完成此項工作的原因。

通過自動化流程，此類代碼審查工具可以提高代碼的質(zhì)量，節(jié)省寶貴的開發(fā)時間，并且讓開發(fā)人員更專注于構(gòu)建應(yīng)用，而不必反復(fù)地檢查代碼。此外，作為靜態(tài)分析和單元測試框架，自動化代碼審查工具不但能夠滿足業(yè)務(wù)所需的速度和敏捷性，還可以提供更快的反饋、更好的代碼質(zhì)量、以及更少的產(chǎn)品轉(zhuǎn)化時間。

通過長時間的迭代，目前自動化的代碼審查工具不但高效、準(zhǔn)確，而且可以實(shí)現(xiàn)自定義。下面，我將和您一起探討目前五種優(yōu)秀的自動化代碼審查工具，并且通過對比每一種工具的優(yōu)缺點(diǎn)，以方便您在實(shí)際項目中做出適合的選擇。

1.CodeBeat

CodeBeat是一種流行的代碼審查工具，它可以提供自動化的代碼審查與反饋。在從1到4級的通用等級代碼審查標(biāo)準(zhǔn)中，它屬于第4級工具。CodeBeat支持諸如Python、Ruby、Java、Javascript、Golang、以及Swift等多種語言。

通過提供團(tuán)隊管理工具，CodeBeat可以輕松地分析代碼，并在團(tuán)隊中出現(xiàn)開發(fā)人員調(diào)整時，保持代碼的一致性。由于能夠與Github、Gitlab、Bitbucket、Slack和Hipchat等許多流行工具相集成，因此開發(fā)人員和軟件團(tuán)隊都可以在項目中協(xié)同使用CodeBeat。

CodeBeat的優(yōu)勢包括：

• 提供帶有項目審查的集成式儀表板
• 可對發(fā)現(xiàn)的問題按照復(fù)雜性、重復(fù)性、以及代碼層面的分類
• 提供對于目標(biāo)項目中的電子郵件地址更新，并能持續(xù)檢查拉取請求的代碼質(zhì)量
• 提供即時的反饋，并能以“快贏(quick wins)”的方式，來提高代碼庫的質(zhì)量
• 所需的設(shè)置最少，并易于集成與使用

CodeBeat的缺點(diǎn)包括：

• 缺乏安全性分析
• 缺乏對開源工具和linter工具的支持

總的說來，CodeBeat不但完全免費(fèi)開源，而且能夠?yàn)榇笮蛨F(tuán)隊提供企業(yè)級支持，以識別那些復(fù)雜、且可能重復(fù)的代碼。

2.DeepSource

DeepSource可以針對各種流行的通用編程語言，提供自動化的代碼分析。目前，它能夠支持Python、Javascript、Golang、Ruby、以及Java等語言。憑借著單文件配置，DeepSource能夠讓針對每一次提交和拉取請求的持續(xù)分析，變得更加容易。

DeepSource可以檢查各種性能問題、類型問題、樣式問題、文檔問題、缺陷風(fēng)險、以及各種反模式。通過明確定義待現(xiàn)實(shí)的目標(biāo)，它可以讓開發(fā)人員和維護(hù)人員管理其代碼庫，并簡化代碼的審查過程。

DeepSource的優(yōu)勢包括：

• 單文件配置，可用于自動化代碼分析
• 可與Travis CI和Circle CI等持續(xù)集成管道相整合
• 支持black、rubocop和gofmt等代碼格式化程序
• 提供橫跨代碼庫的常見問題自動化修復(fù)
• 提供針對每個問題和拉取式請求的分析

DeepSource的缺點(diǎn)包括：

• 缺乏針對PHP、C++和Rust的支持
• 缺乏對于Azure DevOps的支持

總的說來，DeepSource不但完全免費(fèi)開源，而且能夠?yàn)榇笮蛨F(tuán)隊提供企業(yè)級支持。其分析器不但可以工作在文件級和存儲庫級，并且能夠提供比其他分析器和代碼查看工具更低的誤報率。

3.CodeClimate

CodeClimate旨在通過提供從提交到部署(commit-to-deploy)的可見性，以提高團(tuán)隊的工作效率。其工程智能化(Engineering Intelligence)可以在“速度”上簡化持續(xù)交付;并在“質(zhì)量”上為每一個提交和提取式請求，提供自動化的代碼審查。

CodeClimate可以根據(jù)各種參數(shù)(包括代碼重復(fù)率、代碼風(fēng)格等)，提供從A到F的可維護(hù)性評分等級，并能夠方便用戶根據(jù)測試覆蓋率、或技術(shù)債的變化，來確定瓶頸與發(fā)展趨勢。

CodeClimate的優(yōu)勢包括：

• 能夠借助自動化的Git更新，來簡化安裝
• 在代碼庫中識別出各個“熱點(diǎn)”，以標(biāo)記需要重構(gòu)的部分
• 通過提供安全儀表板，來識別應(yīng)用程序中的漏洞
• 提供可在本地用于自動化代碼審查的API
• 可通過郵件和RSS反饋，來提供警報和實(shí)例的通知
• 能與VS Code和Atom等集成開發(fā)環(huán)境(IDE)相整合
• 可通過名為“cc-test-reporter”的軟件庫，來測試覆蓋率

CodeClimate的缺點(diǎn)包括：

• 缺乏對于問題的描述、搜索、以及過濾
• 缺乏可定制能力，且售價較高
• 由于無法提供用于識別核心復(fù)雜性(例如文件長度和復(fù)雜度)的規(guī)則，因此其誤報率比較高

4.Codacy

Codacy是個人開發(fā)者和軟件開發(fā)團(tuán)隊最常用的自動化代碼審查工具之一。它能夠支持包括Python、Java、Javascript、C/C++、Ruby、以及Golang在內(nèi)的各種通用編程語言。Codacy可以對代碼的復(fù)雜性、易錯點(diǎn)(error-prone)、安全性、代碼樣式、兼容性、文檔和性能等問題進(jìn)行審查。

Codacy的優(yōu)勢包括：

• 通過最小化安裝，來實(shí)現(xiàn)自動化的代碼檢查
• 能夠與包括GitHub、GitLab、GitHub Actions、CircleCI等服務(wù)相集成
• 通過協(xié)助定義項目的特定目標(biāo)，來提供實(shí)現(xiàn)目標(biāo)的建議
• 可分析拉取式請求、以及單獨(dú)的提交
• 可通過濾除各種“噪點(diǎn)”和重復(fù)性，來專注于新出現(xiàn)的問題
• 提供了易用且直觀的用戶界面，可協(xié)助開發(fā)人員輕松地管理其代碼
• 允許開發(fā)人員保存完整的代碼質(zhì)量，以及對代碼的純凈度進(jìn)行審查

Codacy的缺點(diǎn)包括：

• 缺乏對于問題的搜索能力(個別過濾器除外)
• 缺乏對于導(dǎo)出代碼模式提供支持

5.Veracode

Veracode可被用于代碼審查、自動化測試、以及提高代碼庫的效率。它支持包括Python、Java、Javascript、以及Golang在內(nèi)的多種通用編程語言。Veracode能夠提供兩種代碼檢查工具：靜態(tài)分析和軟件組成分析。其中，靜態(tài)分析工具可以方便開發(fā)人員找到各種錯誤和反模式，并在代碼投入生產(chǎn)環(huán)境之前進(jìn)行修復(fù)。而軟件組成分析則可以在代碼庫中，使用第三方程序包來識別漏洞。

Veracode的優(yōu)勢包括：

• 易于配置和快速上手
• 提供二進(jìn)制掃描，以減少對于代碼的誤報
• 可指出代碼中的真實(shí)漏洞，并提出解決方案
• 提供可自定義的儀表板，并帶有直觀、友好的用戶界面

Veracode的缺點(diǎn)包括：

• 缺乏可定制的分析規(guī)則
• 用戶使用體驗(yàn)欠佳

總的說來，由Veracode提供的代碼分析平臺可方便開發(fā)人員查看、分析和修復(fù)代碼中的安全漏洞。同時，通過與SDLC的集成，Veracode還可以協(xié)助開發(fā)人員驗(yàn)證目標(biāo)代碼是否符合OWASP Top 10，以及其他實(shí)踐標(biāo)準(zhǔn)。

原文標(biāo)題：Automated Code Review Tools for Developers in 2021，作者: Saif Sadiq

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】