代码审查如何做？

西博上海

代码审查（Code Review）是软件开发中的重要一环，类似质量管理体系的内部审核，旨在通过团队协作的方式检查代码质量、发现潜在问题并提升整体开发质量和效率。

代码审查的目的：
1. 提高代码质量
   - 发现并修复逻辑错误、性能瓶颈和安全漏洞（如SQL注入、内存泄漏）。
   - 确保代码实现与需求一致，避免功能偏差。
   - 确保代码符合设计规范和业务需求。

2. 统一代码风格
   - 确保代码遵循团队的编码规范（如命名、格式、注释等）。
   - 强制代码风格一致性，减少因风格不一致导致的维护成本。（如命名、缩进、注释），降低维护成本。如Python中强制PEP8规范，JavaScript使用ESLint规则。

3.提升可维护性
   - 确保代码易于理解和扩展，降低未来修改和调试的难度。
   - 通过评审发现潜在的“技术债务”。

4. 增强团队协作，促进知识共享
   - 通过评审过程，团队成员可以相互学习代码实现和设计思路。
   - 减少“知识孤岛”，避免只有少数人熟悉某部分代码的情况。通过评审过程，团队成员可以更好地理解彼此的工作。
   - 培养团队责任感，避免个人单点故障。

代码审查的项目：
* 完整性检查 (Completeness)
* 一致性检查 (Consistency)
* 正确性检查 (Correctness)
* 可预测性检查 (Predictability)
* 健壮性检查 (Robustness)
* 结构性检查 (Structureness）
* 可追溯性检查 (Traceability)
* 可理解性检查 (Understandability)
* 可验证性检查 (Verifiability)

代码审查的方法：
1. 人工审查
   - 结对编程（Pair Programming）：两名开发者共同编写代码，实时讨论和审查。
   - 团队评审会议：团队成员集中讨论代码变更，适合复杂或高风险的功能。
   - 异步评审：通过工具（如GitHub Pull Requests、GitLab Merge Requests）进行异步审查，适合分布式团队。

2. 自动化工具辅助审查
   - 静态代码分析工具：使用工具（如SonarQube、ESLint、Pylint）自动检查代码风格、潜在错误和安全漏洞。
   - CI/CD集成：将代码审查工具集成到持续集成/持续交付（CI/CD）流程中，自动运行测试和检查。
   - AI辅助审查：AI辅助工具有GitHub Copilot：提供代码补全和优化建议；DeepSeek AI：识别潜在漏洞（如未关闭的数据库连接）。  

3. 混合方法（最佳实践）
3.1先通过工具解决低级错误（如缩进、未使用变量）。  
3.2人工审查：聚焦业务逻辑、架构设计和边界条件。

4. 评审的最佳实践
   - 明确评审范围：每次评审聚焦于特定功能或模块，避免一次性审查过多代码。
   - 提供具体反馈：评审者应明确指出问题并提供改进建议，避免模糊评论（如“这段代码不好”）。
   - 保持建设性态度：评审应以改进代码为目标，避免个人批评或情绪化表达。
   - 设定时间限制：避免评审过程过长，影响开发进度。

代码审查的流程：
1. 提交代码变更：开发者完成代码后，提交Pull Request（PR）或Merge Request（MR）。
2. 自动化检查：运行静态分析工具、单元测试和集成测试，生成初步报告。
3. 人工评审：团队成员查看代码变更，提出改进建议或问题。
4. 修复与迭代：开发者根据反馈修改代码，重新提交审查。
5. 合并代码：评审通过后，代码合并到master。

代码审查的黄金原则：
1. 小批量提交：单次审查代码量不超过200行，提升审查效率。  
2. 明确反馈：避免模糊评论（如“这里不好”），改为具体建议（如“建议用哈希表优化查询效率”）。  
3. 尊重与学习：评审是协作而非指责，开发者应视反馈为成长机会。  

西博上海

第三方安全与漏洞扫描报告

智慧-足迹

这么高大上  我既然看不懂。