|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
你总不能说你写框架吧,那无疑会加大工作量,现在大多企业采取的是折中的办法,就是改别人写好的框架,可要改框架,前提是你对这个框架足够的了解,这就更难了。年夜多半开辟者都批准编写平安的代码的需要性,但常常由于项目公布的压力使他们保持了这一寻求。而另外一些开辟者大概仅仅是不晓得从那里入手下手动手。不管是哪一种情形,一篇现成的标准城市匡助他们改良这类善。
InfoQ有幸与《JavaCodingGuidelines》的作者们举行了一次对话,更多地懂得了他们的旧书是怎样匡助开辟者们编写更好的代码,而且使他们有一份优异的标准能够作为参考。
InfoQ:年夜多半开辟者都但愿可以改良他们的代码质量,进步代码平安性,但大概他们还不晓得从那里动手。另有的开辟者以为这一点从实际下去说固然十分好,可是他们正在一个遗留体系的代码库中挣扎而力所不及。在这些分歧的情形下,你会对这些开辟者们说些甚么呢?你对这本书的利用体例很年夜水平上取决于你今朝的事情。假如你正处于一个Java软件开辟流程的入手下手阶段,你大概会盘算通读一篇全书,以懂得个中的标准的要旨。当体系开辟的历程入手下手后,当你关于某些标准的使用存有疑问时,你就会回过火往从头审阅这些标准。
另外一方面,假如你正在保护一个现有体系,那也许只要你碰到了某些“奇异的”成绩的时分,你才会想起往从头读一篇某些标准,反省代码中是不是存在某些成绩,再对比标准举行反省。这是一种弥补式的战略。 InfoQ:看一下本书就会发明,本书的内容分为平安、进攻性编程、牢靠性、编程可了解性和程序员的罕见曲解。在这些内容当中,你以为哪一部分是在编程中最必要注重的呢?《JavaCodingGuidelines》的次要方针是当开辟者对怎样准确地使用某些编程观点、构件或言语特征有些不断定的时分,匡助他们做出明智的选择。程序员的曲解这一部分次要办理的成绩是“最多见的曲解有哪些?”编程可了解性这部分关于怎样确保代码不存在歧义、易于保护这一点做了深切的解说。而平安、进攻性编程和牢靠性章节慢慢为读者先容了创立强健的体系,让它们可以从打击或停机中当即恢复所需的常识。 InfoQ:你的这本书和《TheCERTOracleSecureCodingStandardforJava》一书是不是有甚么干系呢?读者们是不是应当先浏览你的标准再往浏览那本书,或是两本书能够一同读呢?《TheCERTOracleSecureCodingStandardforJava》一书为Java的平安编码界说了一些划定规矩,假如你违反了这些划定规矩,就有大概招致发生被人使用的缺点。《JavaCodingGuidelines》则保举了一些改良软件平安性和牢靠性的一样平常性作法,而即便违反了个中的某些倡议,也其实不代表你的代码中就今生产了缺点。这两本书最好是可以共同利用,它们供应了各自自力的一些引导标准,并且这两本书中的内容反复很少,乃至几近没有。多半的标准都供应了一些应该遵守的通用编码准绳,而编码尺度则枚举了各类应该制止的毛病。《JavaCodingGuidelines》也援用了《TheCERTOracleSecureCodingStandardforJava》中的内容,但它的全体仍然是自力的。 InfoQ:主动举行代码扫描的工具可以在多年夜水平上检测出这类毛病呢?有了主动化工具,是不是就代表程序员不用往熟习这些观点了呢?程序员应当熟习《JavaCodingGuidelines》中的各类观点,由于在开辟阶段更简单制止在代码中发生缺点和缺点,而假如在测试阶段,大概更糟的是在部署阶段,要找到并改正这些成绩就要可贵多了。年夜多半现有的剖析工具其实不健全,而且也不完整,这意味着这些剖析发生的了局有大概包括毛病否认大概毛病一定。开辟者必需可以判别工具的诊断结论是不是代表着违反了某个准绳,而且还要可以制止或打消在诊断结论中没有枚举出的违反情形。CERT创立了源代码剖析实行室(SCALe)工具,它利用了多种静态剖析体例对代码举行评价,以找出对平安编码划定规矩的违反情形。很多相似如许的工具都具有不反复的功效,因而必要利用多种工具以取得更年夜的查验掩盖水平。但SCALe历程只要部分是主动化的,对诊断了局必需举行野生剖析,以打消毛病一定的结论。 InfoQ:你是不是注重到有些团队会专门推荐出一名“平安专家”?岂非不该该是全部团队都往熟习这些平安性的内容吗?假如全部团队都可以了解平安编码的观点,那效果会好很多。每一个写代码的人都必要懂得怎样平安地编写代码,由于编写代码的时分也是调剂你的代码的最好机会。假如团队中的某位成员受过更多平安性方面的培训,那他能够经由过程代码检察和平安性审计的体例将这些常识无效地推行给全部团队。开辟团队必需答应他们会编写出遵守标准的代码,他们能够将本书作为参考。开辟者能够列入或存眷我们在www.securecoding.cert.org网站所订制的编码尺度,并经由过程newsletter大概是Linked上的平安编码论坛(SecureCodingForum)举行会商。 InfoQ:你是不是注重到有哪些毛病是开辟者会反复呈现的吗?
[quote]某些毛病会常常性地呈现在Java中,那是由于这门言语在怎样使用各类编程构件方面供应了很年夜的自在度。举例来讲,平安编码划定规矩中的ERR-08-JDonotcatchNullPointerExceptionoranyofitsancestors(不要捕捉NullPointerException非常或它的任何父类)就常常被违反,由于有些开辟者无视了Java所供应的非常处置特征。在代码中捕捉大概抛出一个过于泛用的范例常常会招致毛病被疏忽的了局。非常处置一直都是一个应战,由于很多Java使用和web框架将处置非常和失利情况的义务都丢给了开辟者。
CERT为各类Java的软件体系对《TheCERTOracleSecureCodingStandardforJava》的恪守情形做了一些剖析,在我们的纪录中,最简单被违反的划定规矩有这几条:
A.EXP01-J.Neverdereferencenullpointers(永久不要直接援用空指针)
B.ERR01-J.Donotallowexceptionstoexposesensitiveinformation(不要让非常表露敏感信息)
C.ERR07-J.DonotthrowRuntimeException,Exception,orThrowable(不要抛出RuntimeException、Exception、或Throwable范例的非常)
D.ERR08-J.DonotcatchNullPointerExceptionoranyofitsancestors(不要捕捉NullPointerException非常或它的任何父类)
E.FIO04-J.Releaseresourceswhentheyarenolongerneeded(当不再必要某个资本的时分当即开释它)
F.ERR00-J.Donotsuppressorignorecheckedexceptions(不要克制或疏忽查到的非常)
多谢指点,其实我对.net网页编程和ruby也不是很了解,对与java也只是刚起步的阶段,只是在学习中有了点想法就写出来了,现在俺本科还没毕业,所以对大型项目基本上也没有什么经验。 |
|