你对这本书的利用体例很年夜水平上取决于你今朝的事情。假如你正处于一个Java软件开辟流程的入手下手阶段,你大概会盘算通读一篇全书,以懂得个中的标准的要旨。当体系开辟的历程入手下手后,当你关于某些标准的使用存有疑问时,你就会回过火往从头审阅这些标准。
另外一方面,假如你正在保护一个现有体系,那也许只要你碰到了某些“奇异的”成绩的时分,你才会想起往从头读一篇某些标准,反省代码中是不是存在某些成绩,再对比标准举行反省。这是一种弥补式的战略。
《JavaCodingGuidelines》的次要方针是当开辟者对怎样准确地使用某些编程观点、构件或言语特征有些不断定的时分,匡助他们做出明智的选择。程序员的曲解这一部分次要办理的成绩是“最多见的曲解有哪些?”编程可了解性这部分关于怎样确保代码不存在歧义、易于保护这一点做了深切的解说。而平安、进攻性编程和牢靠性章节慢慢为读者先容了创立强健的体系,让它们可以从打击或停机中当即恢复所需的常识。
《TheCERTOracleSecureCodingStandardforJava》一书为Java的平安编码界说了一些划定规矩,假如你违反了这些划定规矩,就有大概招致发生被人使用的缺点。《JavaCodingGuidelines》则保举了一些改良软件平安性和牢靠性的一样平常性作法,而即便违反了个中的某些倡议,也其实不代表你的代码中就今生产了缺点。这两本书最好是可以共同利用,它们供应了各自自力的一些引导标准,并且这两本书中的内容反复很少,乃至几近没有。多半的标准都供应了一些应该遵守的通用编码准绳,而编码尺度则枚举了各类应该制止的毛病。《JavaCodingGuidelines》也援用了《TheCERTOracleSecureCodingStandardforJava》中的内容,但它的全体仍然是自力的。
程序员应当熟习《JavaCodingGuidelines》中的各类观点,由于在开辟阶段更简单制止在代码中发生缺点和缺点,而假如在测试阶段,大概更糟的是在部署阶段,要找到并改正这些成绩就要可贵多了。年夜多半现有的剖析工具其实不健全,而且也不完整,这意味着这些剖析发生的了局有大概包括毛病否认大概毛病一定。开辟者必需可以判别工具的诊断结论是不是代表着违反了某个准绳,而且还要可以制止或打消在诊断结论中没有枚举出的违反情形。CERT创立了源代码剖析实行室(SCALe)工具,它利用了多种静态剖析体例对代码举行评价,以找出对平安编码划定规矩的违反情形。很多相似如许的工具都具有不反复的功效,因而必要利用多种工具以取得更年夜的查验掩盖水平。但SCALe历程只要部分是主动化的,对诊断了局必需举行野生剖析,以打消毛病一定的结论。
假如全部团队都可以了解平安编码的观点,那效果会好很多。每一个写代码的人都必要懂得怎样平安地编写代码,由于编写代码的时分也是调剂你的代码的最好机会。假如团队中的某位成员受过更多平安性方面的培训,那他能够经由过程代码检察和平安性审计的体例将这些常识无效地推行给全部团队。开辟团队必需答应他们会编写出遵守标准的代码,他们能够将本书作为参考。开辟者能够列入或存眷我们在www.securecoding.cert.org网站所订制的编码尺度,并经由过程newsletter大概是Linked上的平安编码论坛(SecureCodingForum)举行会商。
| 欢迎光临 仓酷云 (http://ckuyun.com/) | Powered by Discuz! X3.2 |