本文分享自華為云社區(qū)《提升軟件質(zhì)量？為什么不試試華為云CodeArts Check-云社區(qū)-華為云》，作者： 華為云頭條。

1996年，歐洲最新的無(wú)人衛(wèi)星發(fā)射火箭阿麗亞娜5號(hào)在首次發(fā)射后僅僅36秒，工程師就不得不按下了自毀按鈕。

事后經(jīng)分析查明，由于它重用了其前身阿麗亞娜4號(hào)的系統(tǒng)軟件，發(fā)動(dòng)機(jī)遭遇了之前沒(méi)有被發(fā)現(xiàn)的漏洞，系統(tǒng)軟件試圖將一個(gè)64位的數(shù)字塞入16位的空間，由此產(chǎn)生的整形溢出問(wèn)題導(dǎo)致了主計(jì)算機(jī)和備份計(jì)算機(jī)的崩潰。

一個(gè)小小的軟件缺陷，讓研發(fā)成本近80億美元，并攜帶著造價(jià)5億美元衛(wèi)星的阿麗亞娜5號(hào)瞬間灰飛煙滅。

遺憾的是，這并不是個(gè)例?？v觀歷史，由于軟件質(zhì)量問(wèn)題導(dǎo)致的“黑天鵝事件”不勝枚舉，云服務(wù)宕機(jī)、金融交易失敗、數(shù)據(jù)泄露等，給社會(huì)和用戶造成了無(wú)法挽回的損失。事實(shí)上，軟件存在的質(zhì)量缺陷無(wú)法100%避免。因此，只有通過(guò)更加全面、嚴(yán)格、高效、安全的代碼檢查服務(wù)，才能最大程度地降低風(fēng)險(xiǎn)，使得軟件開(kāi)發(fā)過(guò)程在成本、進(jìn)度和質(zhì)量上得到充分保障。

國(guó)外先進(jìn)的代碼檢查軟件和服務(wù)雖多，但因種種原因不能在中國(guó)全面落地，或在某些方面存在局限性，并不能完全滿足中國(guó)客戶的實(shí)際需求。另外，在Gartner應(yīng)用安全測(cè)試魔力象限中，至今尚無(wú)中國(guó)企業(yè)能夠躋身領(lǐng)導(dǎo)者象限。那么，誰(shuí)能打破行業(yè)堅(jiān)冰，誰(shuí)能更好地在軟件開(kāi)發(fā)階段就將質(zhì)量與安全隱患消滅于無(wú)形？

華為云CodeArts Check代碼檢查服務(wù)挺身而出，為用戶提供包括代碼風(fēng)格、通用質(zhì)量與代碼安全風(fēng)險(xiǎn)等在內(nèi)的檢查能力，同時(shí)提供問(wèn)題閉環(huán)處理、檢查報(bào)告等功能，從而一站式完成代碼檢查作業(yè)，將代碼質(zhì)量保證活動(dòng)從原始的人工檢視中解脫出，確保代碼的高質(zhì)量并助力客戶的商業(yè)成功。

“質(zhì)量 安全”左移

著名軟件工程專家和軟件經(jīng)濟(jì)數(shù)據(jù)與度量專家卡珀斯·瓊斯在其著作《Applied Software Measurement》中指出，80%的軟件缺陷發(fā)生在編碼階段，而在后端測(cè)試修復(fù)缺陷的成本是開(kāi)發(fā)階段的40倍。

廣泛的工業(yè)界實(shí)踐也表明，在整個(gè)軟件生命周期中，缺陷發(fā)現(xiàn)得越早、修復(fù)得越早，影響越小，付出的代價(jià)也越小。因此，“質(zhì)量 安全”左移、DevSecOps等新理念不斷涌現(xiàn)。華為非常贊同并在軟件開(kāi)發(fā)實(shí)踐中積極落地和執(zhí)行這些理念。

華為很早就開(kāi)始關(guān)注軟件質(zhì)量的改進(jìn)，并且持續(xù)吸收業(yè)界的優(yōu)秀經(jīng)驗(yàn)?！霸谖疫€是華為新員工的時(shí)候，就曾學(xué)習(xí)過(guò)半年的質(zhì)量大事。”據(jù)一位華為云PaaS產(chǎn)品專家回憶，“1979年出版的《質(zhì)量免費(fèi)》中提到把事情做對(duì)的理念，與今天‘質(zhì)量 安全’左移的概念不謀而合。最新推出的華為云CodeArts Check正是為了更好地在軟件開(kāi)發(fā)的前端彌補(bǔ)軟件質(zhì)量缺陷，同時(shí)還在代碼檢查上更進(jìn)一步，加入了運(yùn)營(yíng)等新內(nèi)容，讓開(kāi)發(fā)者受益匪淺?！?/p>

第三方市場(chǎng)研究報(bào)告顯示，在中國(guó)，超過(guò)七成的軟件廠商在使用DevSecOps的同時(shí)，也采用了代碼自動(dòng)檢查工具。以華為為例，在其銷售覆蓋的全球100多個(gè)國(guó)家中，尤其是歐洲、中東地區(qū)的很多國(guó)家對(duì)于質(zhì)量與安全問(wèn)題高度敏感。

為此，華為內(nèi)部很早就引入了相關(guān)工具，獨(dú)立執(zhí)行軟件掃描，從技術(shù)、業(yè)務(wù)規(guī)范乃至公司文化等不同層面，確保自動(dòng)化代碼檢查的有效落地，以保證華為所有產(chǎn)品的成功上線。

在軟件質(zhì)量與安全領(lǐng)域，技術(shù)相對(duì)比較成熟，早在上個(gè)世紀(jì)70年代左右就已經(jīng)有了第一款商業(yè)化的代碼檢查軟件。但是因?yàn)檐浖幋a本身就是一件非常困難的事，而且開(kāi)發(fā)人員的技能、知識(shí)儲(chǔ)備參差不齊，再加上軟件語(yǔ)言本身的特點(diǎn)也會(huì)天然造成缺陷，所以在開(kāi)發(fā)階段成功攔截所有代碼質(zhì)量問(wèn)題始終是一個(gè)難點(diǎn)。

從瀑布式開(kāi)發(fā)到今天流行的敏捷開(kāi)發(fā)、云開(kāi)發(fā)，開(kāi)發(fā)模式的改變對(duì)于軟件質(zhì)量和安全的影響也是比較大的。假如軟件掃描或分析的時(shí)間過(guò)長(zhǎng)，則很難滿足快速發(fā)布、快速迭代的要求。軟件質(zhì)量與開(kāi)發(fā)效率之間似乎是魚(yú)與熊掌難以兼得。再者，相對(duì)動(dòng)態(tài)分析技術(shù)，靜態(tài)分析技術(shù)本身存在一些局限，比如每一行代碼在執(zhí)行的過(guò)程中，每一次調(diào)用都會(huì)逐層逐路地進(jìn)行分析，這對(duì)算力來(lái)說(shuō)也是巨大的挑戰(zhàn)，同樣會(huì)影響開(kāi)發(fā)效率。

保證軟件質(zhì)量與安全，挑戰(zhàn)不言而喻，而且不僅僅體現(xiàn)在技術(shù)層面。在應(yīng)用安全測(cè)試領(lǐng)域，標(biāo)準(zhǔn)是國(guó)外的，領(lǐng)導(dǎo)廠商是國(guó)外的，國(guó)內(nèi)無(wú)論是從技術(shù)還是產(chǎn)品化、商業(yè)化程度來(lái)看，都相對(duì)較薄弱。華為云CodeArts Check的目標(biāo)是和國(guó)內(nèi)眾多廠商一起，共建檢查標(biāo)準(zhǔn)和生態(tài)，為中國(guó)軟件行業(yè)的發(fā)展貢獻(xiàn)更多技術(shù)與經(jīng)驗(yàn)，進(jìn)一步幫助廣大中國(guó)軟件企業(yè)提升產(chǎn)品質(zhì)量。

華為云CodeArts Check的前世今生

從1998年到2007年，在華為內(nèi)部，開(kāi)發(fā)語(yǔ)言以C/C 為主，各業(yè)務(wù)團(tuán)隊(duì)按需引入Pclint等第三方工具開(kāi)展代碼質(zhì)量檢查。2007年至2012年期間，華為還發(fā)布了《華為通用編程規(guī)范》，規(guī)范以人工檢視為主。

“從我們對(duì)源代碼的質(zhì)量有要求開(kāi)始，就將當(dāng)時(shí)業(yè)界頂尖的代碼檢查工具用了個(gè)遍。但在保證軟件質(zhì)量與安全方面，我們確實(shí)面臨相當(dāng)大的挑戰(zhàn)?！比A為云PaaS產(chǎn)品經(jīng)理概括說(shuō)，“首先，作為全球化的公司，我們的產(chǎn)品必須滿足全球不同客戶市場(chǎng)差異化且極其嚴(yán)格的要求；其次，在代碼檢查方面，我們不僅要實(shí)現(xiàn)對(duì)編碼風(fēng)格、簡(jiǎn)單質(zhì)量問(wèn)題等的檢查，還希望通過(guò)檢查發(fā)現(xiàn)更多潛在的質(zhì)量問(wèn)題，甚至是影響到網(wǎng)絡(luò)安全的軟件質(zhì)量問(wèn)題；最后，代碼檢查工具必須滿足華為大體量的研發(fā)需求，具備卓越的工程化能力，包括高吞吐量、穩(wěn)定和易用?！?/p>

并非原生商用的代碼檢查工具不夠優(yōu)秀，而是這些工具確實(shí)不能覆蓋華為所有的應(yīng)用場(chǎng)景。所以，華為走上了自研代碼檢查工具之路。在這里可以講一個(gè)小插曲。

某次，華為的一個(gè)客戶提出，要快速確認(rèn)產(chǎn)品代碼中是否使用了不安全的內(nèi)存操作函數(shù)。華為最初采用商用工具進(jìn)行了常規(guī)排查，但在排查之后發(fā)現(xiàn)，仍有遺漏的場(chǎng)景。同時(shí)客戶又提出，除了要排查出是否使用了不安全的函數(shù)，還要確認(rèn)使用了不安全函數(shù)的安全版本是否使用正確。

這一要求已經(jīng)超出了當(dāng)時(shí)商用工具的能力范圍。華為積極投資快速響應(yīng)客戶的個(gè)性化要求，在極短的時(shí)間內(nèi)通過(guò)自研彌補(bǔ)代碼檢查工具能力的不足。

• 2007年，結(jié)合ISO 9126系統(tǒng)/產(chǎn)品質(zhì)量模型，華為發(fā)布了《軟件代碼質(zhì)量要求及樣例》，明確了代碼質(zhì)量必須達(dá)到的6項(xiàng)要求——簡(jiǎn)潔、可靠、可維、可測(cè)、高效、可移植，并在此基礎(chǔ)上打造出Program SMaRT1.0模型。
• 2012年，華為對(duì)Program SMaRT模型進(jìn)行了完善，著重?cái)U(kuò)展了安全性。
• 2018年，華為基于對(duì)好代碼的解讀和追求，結(jié)合業(yè)界先進(jìn)實(shí)踐、專家學(xué)術(shù)研究和ISO標(biāo)準(zhǔn)，提出了華為的CleanCode主張，旨在滿足功能正確的前提下，打造具有“可讀、可維護(hù)、安全、可靠、可測(cè)試、高效、可移植”七大特征的高質(zhì)量代碼，建立人人編寫(xiě)CleanCode代碼的軟件文化。同時(shí)華為開(kāi)始自研與各主流編程規(guī)范對(duì)應(yīng)的自動(dòng)化代碼檢查能力，相對(duì)應(yīng)的編程規(guī)范檢查工具CodeCheck也開(kāi)始面向全公司開(kāi)發(fā)人員進(jìn)行推廣普及。

此外，華為內(nèi)部多種多樣的應(yīng)用場(chǎng)景，讓開(kāi)發(fā)團(tuán)隊(duì)能夠不斷補(bǔ)強(qiáng)、夯實(shí)代碼檢查的基本技術(shù)與能力，而不僅限于簡(jiǎn)單的詞法、語(yǔ)法分析這樣的檢查。如今，自研工具已經(jīng)成了華為代碼檢查的核心力量。

歷史上，華為的各個(gè)業(yè)務(wù)部門，比如終端、ICT、運(yùn)營(yíng)商等，都會(huì)遵循公司對(duì)軟件質(zhì)量的統(tǒng)一要求，同時(shí)結(jié)合自身的業(yè)務(wù)特點(diǎn)，選擇開(kāi)源的或商用的自動(dòng)化工具進(jìn)行代碼檢查。隨著業(yè)界對(duì)網(wǎng)絡(luò)安全的關(guān)注，運(yùn)營(yíng)商對(duì)通信設(shè)備商的軟件代碼安全性提出了極高要求，并提出了內(nèi)部規(guī)范是否統(tǒng)一落地的疑問(wèn)：“我們用了華為那么多產(chǎn)品，華為如何保證每個(gè)產(chǎn)品線產(chǎn)品都能達(dá)到同等的質(zhì)量要求與標(biāo)準(zhǔn)？華為內(nèi)部是否有統(tǒng)一的質(zhì)量保障規(guī)范？每個(gè)開(kāi)發(fā)人員是否切實(shí)執(zhí)行了相關(guān)的標(biāo)準(zhǔn)和規(guī)范？”

當(dāng)時(shí)華為的狀況是，雖然每一個(gè)產(chǎn)品都有針對(duì)性的檢查規(guī)范，也配備了相應(yīng)的檢查工具，完全能夠確保產(chǎn)品本身的質(zhì)量與安全。于是，華為從公司規(guī)范入手，對(duì)照業(yè)界標(biāo)準(zhǔn)，重新梳理、刷新所有相關(guān)的安全規(guī)范、編程規(guī)范。

在此基礎(chǔ)之上，每條產(chǎn)品線基于自身的業(yè)務(wù)特點(diǎn)，以及對(duì)安全性的細(xì)致要求，制定更加具體的要求和規(guī)則。這樣一來(lái)，華為從整個(gè)公司層面，就能通過(guò)一個(gè)統(tǒng)一的平臺(tái)，要求各產(chǎn)品線使用統(tǒng)一的必選規(guī)則集去執(zhí)行軟件掃描；而這個(gè)統(tǒng)一的平臺(tái)還能有效匯聚、處理各業(yè)務(wù)線的數(shù)據(jù)，并將相關(guān)數(shù)據(jù)提供給外部客戶，以滿足第三方檢查、認(rèn)證等方面的需要。經(jīng)此改變，華為的整體產(chǎn)品質(zhì)量又躍上了一個(gè)新臺(tái)階。

■ 2018年，隨著整個(gè)軟件工具鏈的逐步完善，華為開(kāi)始將用于內(nèi)部的代碼檢查工具“外溢”，向外以服務(wù)的模式進(jìn)行輸出。
■ 2020年4月，CodeCheck2.0正式發(fā)布，多款代碼檢查工具（ReviewBot、SecBrella、CodeCheck等）歸一至新版的代碼檢查服務(wù)CodeCheck，并構(gòu)建起“IDE-代碼倉(cāng)門禁-版本發(fā)布”三級(jí)檢查體系。
■ 2021年，CodeCheck經(jīng)歷多次技術(shù)攻關(guān)，實(shí)現(xiàn)了代碼檢查引擎對(duì)國(guó)外工具的核心安全及質(zhì)量檢測(cè)能力進(jìn)行替換，不僅有效支撐了華為研發(fā)業(yè)務(wù)的連續(xù)，而且為深度安全及代碼質(zhì)量檢查能力的商用交付夯實(shí)了基礎(chǔ)。
■ 2022年4月，CodeCheck HCS版本交付，這也是CodeCheck首個(gè)正式對(duì)外商用的版本。經(jīng)過(guò)近半年的精心準(zhǔn)備，CodeCheck于2022年8月23日通過(guò)了業(yè)界標(biāo)準(zhǔn)CWE認(rèn)證，具備了國(guó)際認(rèn)可的專業(yè)資質(zhì)；同年9月，CodeCheck完成了在墨西哥、巴西、新加坡等多個(gè)海外局點(diǎn)的開(kāi)局，邁出全球化部署的關(guān)鍵一步。

經(jīng)過(guò)持續(xù)的演進(jìn)、完善，CodeCheck成了今天廣大開(kāi)發(fā)者在華為云上可以信手拈來(lái)的CodeArts Check服務(wù)，它既是華為多年來(lái)軟件開(kāi)發(fā)的成功實(shí)踐、工程方法、管理要求以及優(yōu)秀企業(yè)文化的結(jié)晶，同時(shí)又將經(jīng)實(shí)踐驗(yàn)證的好用的通用能力與功能，與廣大客戶和合作伙伴進(jìn)行分享，進(jìn)一步提升軟件的質(zhì)量。

華為云CodeArts Check服務(wù)能夠在開(kāi)發(fā)階段全面深挖代碼的安全問(wèn)題，并從“可讀性、可維護(hù)性、安全性、可靠性、可測(cè)試性、高效性、可移植性”這七個(gè)緯度全面評(píng)估安全代碼的質(zhì)量，為開(kāi)發(fā)者提供大規(guī)模、高可用，且易用、便捷的云服務(wù)，從而更好地守護(hù)企業(yè)軟件的質(zhì)量與安全，助力企業(yè)商業(yè)成功。

“六大利器”助力企業(yè)商業(yè)成功

你是不是好奇，華為云CodeArts Check到底有哪些過(guò)人之處？歸納來(lái)說(shuō)，華為云CodeArts Check鍛造出“六大利器”。

利器一：自研代碼檢查引擎，代碼質(zhì)量評(píng)估無(wú)死角。

華為云CodeArts Check采用的自研引擎融合了華為30多年對(duì)代碼質(zhì)量及可信度提升方面的持續(xù)思考與探索實(shí)踐，能夠幫助用戶在一次掃描中針對(duì)代碼的”可讀性、可維護(hù)性、安全性、可靠性、可測(cè)試性、高效性、可移植性”七大質(zhì)量特征進(jìn)行全面分析。

利器二：五大業(yè)界主流標(biāo)準(zhǔn)、華為編程規(guī)范，一個(gè)也不能少。

華為云CodeArts Check不僅支持ISO 5055、CERT、CWE、OWASP TOP10、SANS TOP 25五大業(yè)界主流編程標(biāo)準(zhǔn)，而且內(nèi)置了華為終端、網(wǎng)絡(luò)、云計(jì)算、芯片等產(chǎn)品多年研發(fā)經(jīng)驗(yàn)總結(jié)的編程規(guī)范，提升了產(chǎn)品代碼規(guī)范度。

利器三：開(kāi)發(fā)語(yǔ)言、檢查規(guī)則一應(yīng)俱全，用戶開(kāi)箱即用。

華為云CodeArts Check不僅支持C、C 、Java、Python、GO等十余種常見(jiàn)開(kāi)發(fā)語(yǔ)言，而且提供了超過(guò)7000條檢查規(guī)則，能夠滿足各類檢查場(chǎng)景需求，開(kāi)箱即用。

利器四：日均百億級(jí)掃描能力，超大規(guī)模代碼檢查易如反掌。

華為云CodeArts Check具備強(qiáng)大的高并發(fā)處理能力，還可通過(guò)AZ容災(zāi)、跨Region級(jí)容災(zāi)多活，支持過(guò)載保護(hù)、服務(wù)依賴和隔離等一系列高可用技術(shù)，實(shí)現(xiàn)服務(wù)故障自探測(cè)、自隔離、自恢復(fù)。

利器五：一站式問(wèn)題閉環(huán)修復(fù)。

由于內(nèi)置了編程規(guī)范說(shuō)明、正確示例、錯(cuò)誤示例和修復(fù)建議，華為云CodeArts Check能夠讓問(wèn)題精準(zhǔn)定位到行并提供修復(fù)指導(dǎo)。得益于修復(fù)指導(dǎo)、自動(dòng)修復(fù)、結(jié)果自動(dòng)繼承這三大能力，華為云CodeArts Check能夠?qū)z查問(wèn)題處理和修復(fù)的效率提升100%。

利器六：三層缺陷防護(hù)，效率與質(zhì)量兼得。

華為云CodeArts Check提供了豐富的API接口以及IDE代碼檢查插件，并與代碼倉(cāng)協(xié)同支持代碼提交時(shí)自動(dòng)檢查，與流水線協(xié)同支持軟件全量代碼檢查，三層防范代碼缺陷引入。

“對(duì)于代碼檢查工具來(lái)講，我們最關(guān)注的一是效率，二是誤報(bào)和漏報(bào)問(wèn)題。”華為云PaaS產(chǎn)品經(jīng)理介紹說(shuō)，“我們憑借在云化方面的積累和能力，實(shí)現(xiàn)了大規(guī)模分布式處理能力和效率的提升。針對(duì)漏報(bào)，在大量借鑒商業(yè)化工具和開(kāi)源工具，以及自研工具的成功經(jīng)驗(yàn)的基礎(chǔ)上，我們不斷開(kāi)拓創(chuàng)新，有效提升檢查能力；對(duì)于誤報(bào)問(wèn)題，結(jié)合華為技術(shù)專家、高校的科研成果，利用精準(zhǔn)的智能分析，提升分析引擎的精準(zhǔn)率。舉例來(lái)說(shuō)，華為內(nèi)部每天掃描500億-1000億行代碼，沉淀為一個(gè)龐大的歷史信息數(shù)據(jù)庫(kù)，結(jié)合AI技術(shù)，能夠大幅提了自研引擎的準(zhǔn)確度。上述這些都是華為云CodeArts Check差異化能力的具體體現(xiàn)?！?/p>

華為業(yè)務(wù)線眾多，具有海量的代碼檢查需求，并且對(duì)產(chǎn)品質(zhì)量始終保持著極高的敏感度和重視程度。從這個(gè)角度說(shuō)，華為本身就是催熟代碼檢查工具的一個(gè)寶庫(kù)。

例如，華為云CodeArts Check中采用的核心自研引擎，就是華為在吃自己的“狗糧”。這種“狗糧”吃得越多，CodeArts Check自身的能力和水平就越高。

另外，工程化能力也是華為云CodeArts Check的核心屬性之一，融合了華為30積累的產(chǎn)品開(kāi)發(fā)經(jīng)驗(yàn)、產(chǎn)品開(kāi)發(fā)過(guò)程、質(zhì)量保證過(guò)程，能夠更好地幫助客戶在全工具鏈上復(fù)用華為的開(kāi)發(fā)經(jīng)驗(yàn)，事半功倍。

相比市場(chǎng)上現(xiàn)有的其他代碼檢查工具，華為云CodeArts Check除了在技術(shù)和功能上有自己獨(dú)特的創(chuàng)新之外，在企業(yè)文化、規(guī)范、流程等方面同樣底蘊(yùn)深厚，并且獨(dú)具匠心。

在業(yè)界中，CleanCode是一個(gè)成熟的概念，本質(zhì)是追求代碼的簡(jiǎn)潔化。基于對(duì)軟件質(zhì)量的嚴(yán)苛要求，同時(shí)參考業(yè)界的相關(guān)標(biāo)準(zhǔn)和大量成功實(shí)踐，華為對(duì)CleanCode做出了進(jìn)一步解讀和擴(kuò)展，即“可讀性、可維護(hù)性、安全性、可靠性、可測(cè)試性、高效性、可移植性”七大質(zhì)量特征。

據(jù)介紹，華為公司自上而下，從多個(gè)維度對(duì)七大質(zhì)量特征進(jìn)行解讀和剖析，通過(guò)對(duì)應(yīng)的代碼案例和用例實(shí)現(xiàn)落地，并且提供自動(dòng)度量的方法和工具，確保每條產(chǎn)品線都有對(duì)應(yīng)的組織依此對(duì)各個(gè)層級(jí)進(jìn)行賦能。每條產(chǎn)品線還會(huì)結(jié)合自身的實(shí)際需求，制定具體的計(jì)劃，保證CleanCode切實(shí)有效地落地。

特別值得一提的是，除了不斷增強(qiáng)代碼檢查工具本身的能力以外，華為云CodeArts Check還形成了獨(dú)有的3級(jí)檢查體系和3層運(yùn)營(yíng)體系。3 3的運(yùn)營(yíng)可以立體化、最大限度地保證檢查工具應(yīng)用到位。三層運(yùn)營(yíng)意味著不僅要把工具做到好用，還要讓用戶將工具用好。

因此，從公司層到各個(gè)產(chǎn)品線，再到具體的產(chǎn)品版本層面，華為都提供了分層的工具能力。掌握不同能力模型的專家通過(guò)分工合作，在各個(gè)層面制定出匹配不同產(chǎn)品形態(tài)的工具應(yīng)用策略，做到人盡其才，物盡其用，最終目的還是服務(wù)好開(kāi)發(fā)人員。

“內(nèi)外”兼?zhèn)?質(zhì)量與效率兼得

華為云CodeArts Check服務(wù)已于2023年1月12日正式上線。據(jù)了解，華為云CodeArts Check目前不僅支撐著華為15萬(wàn)研發(fā)人員、日均掃描逾500億行的代碼檢查工作，而且也廣泛應(yīng)用于能源、物流等企業(yè)，服務(wù)新聞媒體及廣大開(kāi)發(fā)者，為企業(yè)生產(chǎn)高質(zhì)量且安全的軟件保駕護(hù)航。

已經(jīng)在華為應(yīng)用并得到成功驗(yàn)證的CodeArts Check不僅適用于大型企業(yè)的超大規(guī)模開(kāi)發(fā)環(huán)境，而且由于其具有分層的能力和易用性，能夠很好地適配不同開(kāi)發(fā)環(huán)境，即使是普通開(kāi)發(fā)者也能一鍵式開(kāi)箱即用。憑借卓越的工程化能力，CodeArts Check既可以無(wú)縫連接華為自研的工具，還能靈活地與業(yè)界通用的工具無(wú)縫集成，每天執(zhí)行幾百億行代碼檢查輕而易舉。

“自己做的降落傘自己先跳”，這是華為一慣的作風(fēng)和傳統(tǒng)，在代碼檢查方面當(dāng)然也不例外。舉例來(lái)說(shuō)，華為參考業(yè)界實(shí)踐、ISO標(biāo)準(zhǔn)制定了華為各類開(kāi)發(fā)語(yǔ)言的編程規(guī)范，明確開(kāi)發(fā)階段落地遵從編程規(guī)范的活動(dòng)要求，以CodeArts Check服務(wù)華為的開(kāi)發(fā)人員，支持30 語(yǔ)言，覆蓋各類規(guī)范40 ；并且通過(guò)“3 3”運(yùn)營(yíng)，讓產(chǎn)品在保障遵從編程規(guī)范的同時(shí)選取最適合自己的檢查規(guī)則進(jìn)行掃描，并通過(guò)數(shù)據(jù)驅(qū)動(dòng)運(yùn)營(yíng)，幫助公司、產(chǎn)品線、產(chǎn)品分層運(yùn)營(yíng)，使得代碼檢查活動(dòng)落地可視、可管理。

今天，高質(zhì)量的產(chǎn)品已成為客戶愿買、敢買和政府接受、信任華為的基本條件。華為的產(chǎn)品和解決方案已在全球170多個(gè)國(guó)家安全穩(wěn)定運(yùn)行，積累和贏得了全球數(shù)萬(wàn)客戶的信任。2019年3月，華為歐洲安全透明中心在比利時(shí)成立，其自研安全檢查引擎與業(yè)界優(yōu)秀工具一起，支撐了三家歐美獨(dú)立評(píng)估機(jī)構(gòu)對(duì)華為產(chǎn)品代碼的安全評(píng)估，效果非常好。編寫(xiě)好代碼能有效減少漏洞，降低系統(tǒng)脆弱性，是達(dá)成高質(zhì)量產(chǎn)品的核心環(huán)節(jié)，也是華為始終堅(jiān)守的信念。

華為云CodeArts Check服務(wù)商業(yè)用戶的一個(gè)典型案例就是中國(guó)經(jīng)濟(jì)信息社（以下簡(jiǎn)稱“中經(jīng)社”）。

中經(jīng)社是新華社旗下專業(yè)承擔(dān)經(jīng)濟(jì)信息服務(wù)業(yè)務(wù)的直屬機(jī)構(gòu)，其綜合信息服務(wù)體系遍布全國(guó)，并覆蓋全球180個(gè)國(guó)家和地區(qū)。中經(jīng)社與許多不同的軟件開(kāi)發(fā)商合作，由于研發(fā)標(biāo)準(zhǔn)不統(tǒng)一，軟件開(kāi)發(fā)商獨(dú)立研發(fā)，使得各開(kāi)發(fā)商的研發(fā)質(zhì)量很難統(tǒng)一保障，協(xié)同效率低下。

中經(jīng)社依托華為云CodeArts Check，通過(guò)研發(fā)運(yùn)維一體化，規(guī)范研發(fā)過(guò)程，提升研發(fā)效率，實(shí)現(xiàn)質(zhì)量活動(dòng)從部署測(cè)試延伸到代碼規(guī)范、安全檢查。其中，代碼檢查自動(dòng)觸發(fā)，實(shí)現(xiàn)了代碼問(wèn)題解決前移，研發(fā)交付質(zhì)量提升50%。

另外，華為云CodeArts Check還支撐許多大型開(kāi)源社區(qū)開(kāi)展代碼檢查工作，包括鴻蒙社區(qū)、碼云等。以鴻蒙社區(qū)為例，每周支撐運(yùn)行近2萬(wàn)個(gè)任務(wù)檢查，代碼掃描量超過(guò)300億行。

平臺(tái) 生態(tài)，更好地服務(wù)廣大開(kāi)發(fā)者，這是華為云CodeArts Check的初衷。華為云希望借助CodeArts Check平臺(tái)，提供開(kāi)放、集成的能力，與生態(tài)伙伴合作協(xié)同，為企業(yè)和開(kāi)發(fā)者提供組合的優(yōu)質(zhì)服務(wù)。華為云CodeArts Check還推出了免費(fèi)套餐，五人以下的團(tuán)隊(duì)可以免費(fèi)使用。另外，華為云還將陸續(xù)推出豐富的訓(xùn)練課程，對(duì)開(kāi)發(fā)者進(jìn)行賦能，并在各技術(shù)社區(qū)中加強(qiáng)CodeArts Check的推廣，共建代碼檢查的良好生態(tài)。

未來(lái)，華為云CodeArts Check將持續(xù)增強(qiáng)自動(dòng)修復(fù)和代碼深度安全檢查能力，并進(jìn)一步提升平臺(tái)和引擎的開(kāi)放性和擴(kuò)展性，讓開(kāi)發(fā)者能夠更加聚焦軟件功能的開(kāi)發(fā)，真正做到兼顧質(zhì)量和效率，更好地助力企業(yè)商業(yè)成功。

點(diǎn)擊下方，第一時(shí)間了解華為云新鮮技術(shù)~

華為云博客_大數(shù)據(jù)博客_AI博客_云計(jì)算博客_開(kāi)發(fā)者中心-華為云

#華為云開(kāi)發(fā)者聯(lián)盟#