代码质量与安全 | 什么是质量门?如何作用于DevOps流程?
什么是质量门?
质量门是在IT或开发项目中实施的检查点,这些检查点要求在进入下一个开发阶段之前达到最低标准。质量门可以阻止不合格代码的部署,帮助确保更高质量的产品。
通过质量门,您可以根据为代码设定的指标和条件来执行质量和其他评估。这是一种识别瓶颈和问题区域的有效方法,以避免在后续工作中遇到这些问题。
在DevOps中,质量门用于衡量整个开发或质量保证流程的质量,并识别漏洞,防止后期的延误和返工。它们是在重要关头实施的项目管理措施,使团队放心地向前推进,因为他们知道自己的代码已经达到了该阶段所要求的质量标准。
为什么质量门在DevOps流程中至关重要?
质量门有助于确保软件的稳定性和可靠性。质量门的迭代特性有助于质量保证工程师和开发人员跟踪错误,并在问题出现时尽快解决,从而提高质量和投资回报率。由于团队设定了通过质量门的条件,因此可以根据项目需要随时定制质量门。
在开发流程中构建质量门有诸多好处:
提高整体质量并维护安全性:
在整个SDLC过程中,有策略地设置质量门可作为质量基准,并通过尽早、频繁地指出代码中的薄弱环节来维护安全性。它们可作为左移方法的一部分,用于在SDLC的早期发现问题,并可在CI/CD流水线中有效实施。
节省代码审查时间:
质量门可作为一个检查表,跟踪目前已达到的要求,以便其他开发人员在评估代码时快速审查。
优化软件性能:
理想情况下,代码应该是干净、可维护和可重用的。质量门提供的衡量标准有助于分析代码性能,并删除冗余或阻碍系统运行的代码。您可以为质量门设置软件指标,如循环复杂度。
持续监控代码库:
质量门持续监控源代码的质量,就组织设定的关键指标提供一致反馈。
合规性验证:
质量门可以确保并验证代码是否符合既定的编码安全标准。
质量门的工作原理
作为持续集成的一部分,流水线质量门确保项目符合预定义的标准,以便进入下一个开发阶段。代码会先进入暂存仓库,直到满足要求。
质量门的状态包括:
通过:满足要求,可以继续生产。
警告:可能接近满足要求,或勉强通过,因此在允许进入下一阶段前,应对代码进行验证。
失败:不满足要求。应先解决标记的问题,然后才能继续生产。
实施质量门的最佳实践是在开发的每个关键阶段设置质量门:
规划
编码
构建
测试
发布
部署
关键在于将质量门限制在这些主要阶段,因为添加的质量门越多,测试就会变得越复杂,从而可能导致代价高昂的延迟。在CI/CD流水线中策略性地设置质量门,还意味着不必按顺序进行设置,可以有多个并行的流水线和并行或重叠的测试。
将Klocwork和Helix QAC用作质量门
无论是执行增量分析、差异分析还是集成分析,静态分析/SAST工具旨在优化DevOps和DevSecOps流程,并且可以作为一种质量门,检查代码内部的代码质量和安全问题,而不会减慢开发速度。
一些静态分析工具,如Klocwork和Helix QAC,可以在新代码进入时执行合并请求分析。在满足设定的条件之前,质量门会阻止将提交的代码合并到受保护的分支中。例如,您可以在GitLab或类似的CI环境中使用Klocwork作为质量门。
虽然实施质量门需要一些初步规划,但它有助于简化DevOps流程。使用正确的工具构建质量门可以加快您的流程,并确保代码的最高质量。
– END –
作者:Dzuy Tran,Perforce首席解决方案架构师;Joe Wrijil,Perforce高级销售工程师