1、code review的意义和价值
- 开发改动代码并未知会测试,这部分改动可能会存在风险
- 可以完善测试分析、提前发现bug、降低质量风险和测试成本
- 学习开发的技术,提升自己的代码能力,提升自己的职业竞争力
- 开发人员没有进行有效的单元测试,带着一大堆问题提交;
- 代码没有进行Code Review,带着一大堆问题入库;
- 版本没有提测标准,带着一大堆问题到测试环境
2、code review的思路和精髓
- 拿到需求文档,架构文档、时序图后,自己对这个需求及逻辑有一定的理解,最好能思考自己会选择怎样实现。
- 接着去了解开发对这个开发的理解以及实现,过程中可以思考存在的风险。开发对于需求实现的设计方案,了解架构图、流程图、时序图
- 再次了解工程设计的层次结构,找到程序的入口,根据找到的入口,就可以从上往下,层层展开,阅读代码就变得容易了
- 学会阅读代码
3、怎么做code review,或者说code review的重点在哪?
3.1、多个地方调用到的,影响面大的公共方法,即底层代码
3.2、影响主流程跑通的类和方法
3.3、涉及金额的代码
3.4、常规检查点:NPE、异常处理、内存泄露、数组越界、资源浪费、精度问题、文件路径权限、
隐私安全、参数校验、多线程问题、全局资源、除零错误、缓存问题。
参数校验:
3.4.1、对照接口文档、重点关注对应的request类是否对参数进行了必传、长度、取值范围、类型的校验
3.4.2、注意是否继承了某个类,父类中是否存在对参数的校验
3.4.3、方法参数如果不能为空时,是否做了判空处理,或者在方法调用者传入参数时是否确保了不为空
3.4.4、当被调用的方法(如下游系统方法)返回为null时,调用者是否有进行判空处理
3.4.5、使用的对象是否在使用的时候时已经被初始化
3.4.6、方法是否有返回null的情况,如果有是否可以改成为返回一个空白对象(如没有元素的列表等)
3.4.7、某些赋值或条件,如果不进行适当的健壮性处理,会存在空指针的隐患
异常处理
1、任何可能出错的函数调用(语句),必须加异常处理。包括但不限于网络交互(超时)、数据库交互(连接是否成功、超时)、
读取请求数据包(判断返回值、脏数据)、文件系统操作
2、对于异常的处理,需要注意异常处理一定要充分、异常判断的时机、条件一 定要正确
内存泄露
1、线程对象使用完毕是否正常结束
2、各种数据库、网络连接和文件IO被打开后,是否正确关闭
3、图片资源是否正确释放
4、缓存对象要有一定大小控制,且有明确的释放策略
资源浪费
1、对变量赋值,而该变量从未使用
2、对象无意义的new了一个实例
3、字符串大量使用+连接
精度问题
1、float、double这类浮点数经常出现精度问题,尤其在类型转化的过程中容易导致精度丢失
2、互联网金融一般使用BigDecimal,BigDecimal有三个构造函数,看到使用了BigDecimal(double val)时,需要谨慎,
可能会存在精度问题。尽量使用int、String的构造函数
多线程问题
1、识别全局资源
2、看到资源的读写和更新,必查加锁
3、看到加锁操作,必查加锁范围
4、看到资源的获取和访问之间有时间间隔,必查资源是否会被更新
5、识别线程不安全函数(Arraylist、hashmap、StringBulider、HashSet、simpledateformat、DateFormat)
文件路径 、权限问题
1、对服务器进行读写文件的操作时,需考虑各个测试环境,对这个路径的权限问题隐私安全
2、对于金融产品涉及的账密、证件、手机、银行卡等敏感信息是否进行了脱敏处理
除零错误
1、除法或者取模操作,必加除数为零的判断
2、浮点转整型会丢失小数部分,特别需要关注0.*变成0的情况
数组越界
1、访问数组时,如果访问了数组定义之外的范围,即下标落在区间[0, size-1]之外,会导致程序运行错误
2、当下标存在加减时,需判断改变的下标是否越界
3、如果是分割字符串产生的数组,取数组的值前一定要判断下标是否在数组长度范围内
4、取数组或列表时,需要先判断数组或者列表的长度不为0
逻辑函数
1、对条件组合判断,特别是超过两个时,或者为||、&&组合使用个时很容易出错
2、是否所有分支都得到了合理的处理,如没有写出了的else以及switch的default分支中途返回
3、在运行过程中,达到某种条件,使程序中途return的情况。需要注意是否存在return导致某些逻辑不能正确执行到的情况
SQL问题:
1、业务层面,需检测操作的数据,如查询的数据是否符合业务预期。性能方面,需检测该语句是否存在性能问题
参数校验:
1、重点关注Controller层的方法入参,是否如接口文档设计进行了必填项、取值范围、长度、类型等校验;