重构指标之如何监控代码圈复杂度
2022-8-4 15:9:55 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1 引言

软件应用在发展到适当时机,”重构”,是开发过程中不可避免需要进行的一项工作。重构代码,以适配当前模块设计之初未考虑到的多样化场景,并增加模块的可维护性、健壮性、可测试性。那么,如何明确重构的方向,以及量化重构的结果呢?代码圈复杂度可以是一个供选择的指标。下文介绍如何获取应用的代码圈复杂度做到线上监控,给到复盘程序复杂程度的数据支撑。

2 背景知识

2.1 圈复杂度

圈复杂度(Cyclomatic complexity,简写CC)也称为条件复杂度,是一种代码复杂度的衡量标准。由托马斯·J·麦凯布(Thomas J. McCabe, Sr.)于1976年提出,用来表示程序的复杂度,其符号为VG或是M。它可以用来衡量一个模块判定结构的复杂程度,数量上表现为独立现行路径条数,也可理解为覆盖所有的可能情况最少使用的测试用例数。圈复杂度大说明程序代码的判断逻辑复杂,可能质量低且难于测试和维护。程序的可能错误和高的圈复杂度有着很大关系。

2.2 圈复杂度计算方式

常用结构圈复杂度计算

  • 顺序结构:顺序结构复杂度为1。
  • if-else-else、switch-case:每增加一个分支,复杂度增加1,&& 、|| 运算也为一个分支。
  • 循环结构:增加一个循环结构,复杂度增加1。
  • return:增加一条return语句,复杂度将加1。

2.3 圈复杂度度量标准

如上列出行业内相对认可的度量数据,实际这个完全是看自己的业务体量和项目情况来决定的。假设你的业务很简单,而且是个单体应用,功能都是很简单的CRUD,那你的圈复杂度即使想上去也没有那么容易。此时你就可以选择把圈复杂度的重构阈值设定为10.

假设你的业务十分复杂,而且涉及到多个其他的微服务系统调用,再加上各种业务中的corner case的判断,圈复杂度上100可能都不在话下。

2.4 降低圈复杂度方法

1)函数提炼与拆分,单一职责

  • 拆分成子函数
  • 每个函数要有明确的功能实现,不要为了追求行数少而合并功能实现
  • 逻辑模块和数据模块要区分开编写

2)优化算法

  • 减少不必要条件、循环分支,尽量少用 if …else … ,采用三元表达式替换if else

3)表达式逻辑优化

  • 合并条件表达式,比如使用a || b || c

4)减少提前return

3 方案概述

3.1 脚本设计

1)开发语言

  • python

2)依赖环境

  • lizard
  • APScheduler
  • smtplib
  • pymysql

3)脚本架构

3.2 功能介绍

1)支持检索语言范围:

支持15种开发语言,包含常用语言如下

  • C/C++ (works with C++14)
  • Java
  • C# (C Sharp)
  • JavaScript (With ES6 and JSX)
  • Python
  • Golang

2)扫描参数配置说明:
利用lizard执行扫描,常用命令如下:

配置检查范围:

  • 列出要分析的编程语言。如果留空,将搜索支持的所有语言。

  1. -l LANGUAGES, --languages LANGUAGES
  • 排除与模式匹配的文件。匹配一切?匹配任何单个字符,“/folder/”递归地排除文件夹中的所有内容。可以指定多个模式。不要忘了在模式周围加“”号。

  1. -x EXCLUDE, --exclude EXCLUDE
  • 设置白名单, 默认’./whitelizard.txt’

  1. -W WHITELIST, --whitelist WHITELIST

配置阀值警告:

  • 圈复杂度数警告的阈值,默认值为15,>15会产生警告。

  1. -C CCN, --CCN CCN
  • 设置字段的限制数。可以代码行数,圈复杂度,令牌数,参数数或自定义字段。如果函数设置超过了限制数会报警。

  1. -T THRESHOLDS, --Threshold THRESHOLDS

配置报告输出:

  • 根据格式输出到文件

  1. -o OUTPUT_FILE, --output_file OUTPUT_FILE

官网地址:http://www.lizard.ws
源码地址:https://github.com/terryyin/lizard

3)定时执行扫描任务:

  • 通过BackgroundScheduler创建调度任务,自动触发扫描方法,结果写库

  1. def dojob():
  2. scheduler = BackgroundScheduler()
  3. scheduler.add_job(func, "cron", hour=21, minute=30)
  4. scheduler.start()

3.3 结果展示

3.3.1 报告名词解释
  • Cyclomatic complexity,圈复杂度也就是分支复杂度,最好保持在15 以下,目前脚本设置阀值10。
  • LOC,包含注释的代码行数,目前设置200阀值。
  • Token count ,token的个数,一个程序最多可以有 8192 个令牌, 每个令牌都是一个词,例如关键字,标识符,常量,标点符号,操作符。 对括号和字符串计数作为 1 个令牌。 逗号、句点、LOCAL、分号、END 和注释不计算在内。
  • Parameter count,参数统计就是函数的参数个数,目前脚本设置阀值10。
3.3.2 执行结果展示
  • Windows环境运行脚本,输入file_root(文件地址)执行扫描,支持自动弹出浏览器展示本次运行的Html报告

  • 每周定期执行,按照系统维度扫描,支持触发邮件通知对应系统研发查看超过阀值方法名称

3.3.3 应用数据监控
  • 每周定期拉取指定分支最新代码,执行文件分析,存储扫描结果,通过数据图表展示

4 总结

对于软件代码好坏的衡量,圈复杂度可以作为一个参考指标,研发可以通过提炼拆分函数、优化算法、优化逻辑表达式等方法降低模块(函数)圈复杂度。以上阐述圈复杂度一种线上监控方法,利用好线上化数据,结合现有团队项目情况,才能形成更好的实践机制。


文章来源: https://www.freebuf.com/articles/blockchain-articles/341029.html
如有侵权请联系:admin#unsafe.sh