代码审查实践

代码审查实践详解

一、知识概述

代码审查（Code Review）是软件开发中保证代码质量的重要环节，通过同行评审发现代码缺陷、提升代码质量、促进知识共享。有效的代码审查不仅能发现Bug，还能提升团队整体技术水平。

本文将深入分析代码审查的最佳实践，包括审查流程、审查要点、常见问题模式、工具推荐等内容。

代码审查的核心价值

1. 缺陷发现：早期发现Bug，降低修复成本
2. 知识共享：团队成员互相学习
3. 质量保证：确保代码符合规范
4. 团队协作：促进沟通，打破孤岛

二、知识点详细讲解

2.1 代码审查流程

2.2 审查清单

功能正确性

/** * 审查要点：功能是否正确实现 */// ✗ 问题：边界条件处理不当publicintdivide(inta,intb){returna/b;// 未处理b=0的情况}// ✓ 正确publicintdivide(inta,intb){if(b==0){thrownewIllegalArgumentException("除数不能为0");}returna/b;}// ✗ 问题：空指针风险publicStringgetUserName(Useruser){returnuser.getName();// user可能为null}// ✓ 正确publicStringgetUserName(Useruser){if(user==null){return"Unknown";}returnuser.getName();}// ✗ 问题：并发安全问题publicclassCounter{privateintcount=0;publicvoidincrement(){count++;// 非原子操作}}// ✓ 正确publicclassCounter{privateAtomicIntegercount=newAtomicInteger(0);publicvoidincrement(){count.incrementAndGet();}}

代码质量

/** * 审查要点：代码可读性、可维护性 */// ✗ 问题：命名不清晰publicintcalc(inta,intb){returna*b+10;}// ✓ 正确publicintcalculateTotalPrice(intquantity,intunitPrice){finalintSHIPPING_FEE=10;returnquantity*unitPrice+SHIPPING_FEE;}// ✗ 问题：方法过长（超过80行）publicvoidprocessOrder(Orderorder){// 100+ 行代码...}// ✓ 正确：拆分为多个方法publicvoidprocessOrder(Orderorder){validateOrder(order);calculatePrice(order);deductStock(order);createPayment(order);sendNotification(order);}// ✗ 问题：重复代码publicdoublecalculateCircleArea(doubleradius){returnMath.PI*radius*radius;}publicdoublecalculateCylinderVolume(doubleradius,doubleheight){returnMath.PI*radius*radius*height;// 重复计算圆面积}// ✓ 正确：复用代码publicdoublecalculateCircleArea(doubleradius){returnMath.PI*radius*radius;}publicdoublecalculateCylinderVolume(doubleradius,doubleheight){returncalculateCircleArea(radius)*height;}

性能问题

/** * 审查要点：性能优化 */// ✗ 问题：循环内数据库查询publicList<OrderVO>getOrders(List<Long>orderIds){List<OrderVO>result=newArrayList<>();for(LongorderId:orderIds){result.add(orderDao.findById(orderId));// N+1问题}returnresult;}// ✓ 正确：批量查询publicList<OrderVO>getOrders(List<Long>orderIds){returnorderDao.findByIds(orderIds);}// ✗ 问题：字符串拼接publicStringbuildMessage(List<String>items){Stringresult="";for(Stringitem:items){result+=item+",";// 每次创建新String对象}returnresult;}// ✓ 正确：使用StringBuilderpublicStringbuildMessage(List<String>items){StringBuildersb=newStringBuilder();for(Stringitem:items){sb.append(item).append(",");}returnsb.toString();}// ✗ 问题：集合未指定大小publicvoidprocessItems(List<String>items){List<String>result=newArrayList<>();// 可能多次扩容for(Stringitem:items){result.add(transform(item));}}// ✓ 正确：预估容量publicvoidprocessItems(List<String>items){List<String>result=newArrayList<>(items.size());for(Stringitem:items){result.add(transform(item));}}

安全问题

/** * 审查要点：安全漏洞 */// ✗ 问题：SQL注入风险publicUserfindUser(Stringusername){Stringsql="SELECT * FROM user WHERE username = '"+username+"'";returnjdbcTemplate.queryForObject(sql,User.class);}// ✓ 正确：使用参数化查询publicUserfindUser(Stringusername){Stringsql="SELECT * FROM user WHERE username = ?";returnjdbcTemplate.queryForObject(sql,User.class,username);}// ✗ 问题：敏感信息日志publicvoidlogin(Stringusername,Stringpassword){log.info("User login: {}, password: {}",username,password);// 泄露密码}// ✓ 正确：脱敏处理publicvoidlogin(Stringusername,Stringpassword){log.info("User login: {}",username);}// ✗ 问题：文件路径未校验publicvoidreadFile(Stringfilename)throwsIOException{Files.readAllLines(Paths.get(filename));// 可能访问任意文件}// ✓ 正确：限制访问目录publicvoidreadFile(Stringfilename)throwsIOException{PathbasePath=Paths.get("/data/files");PathfilePath=basePath.resolve(filename).normalize();if(!filePath.startsWith(basePath)){thrownewSecurityException("非法文件路径");}Files.readAllLines(filePath);}

2.3 审查工具

GitLab CI配置

# .gitlab-ci.ymlstages:-build-test-reviewbuild:stage:buildscript:-mvn compiletest:stage:testscript:-mvn testcoverage:'/Total.*?([0-9]{1,3})%/'sonarqube-check:stage:reviewscript:-mvn sonar:sonarallow_failure:falseonly:-merge_requests

GitHub Actions配置

# .github/workflows/code-review.ymlname:Code Reviewon:[pull_request]jobs:review:runs-on:ubuntu-lateststeps:-uses:actions/checkout@v4-name:Set up JDK 17uses:actions/setup-java@v4with:java-version:'17'-name:Buildrun:mvn compile-name:Testrun:mvn test-name:SonarCloud Scanuses:SonarSource/sonarcloud-github-action@masterenv:GITHUB_TOKEN:${{secrets.GITHUB_TOKEN}}SONAR_TOKEN:${{secrets.SONAR_TOKEN}}

三、总结与最佳实践

3.1 审查原则

1. 小批量：每次审查不超过400行代码
2. 及时性：24小时内完成审查
3. 建设性：关注代码，不针对个人
4. 尊重性：礼貌表达意见

3.2 审查流程

1. 自动化检查先行
2. 人工审查核心逻辑
3. 提出修改建议
4. 验证修改结果
5. 批准合并

3.3 常见问题模式

参考资料

1. 《代码大全》
2. Google Engineering Practices
3. 《Clean Code》
4. GitLab Code Review Guidelines

六、思考与练习

思考题

1. 基础题：代码审查的核心价值有哪些？为什么说"审查要关注代码，不针对个人"？
2. 进阶题：N+1查询问题是什么？如何在代码审查中发现并避免这类问题？
3. 实战题：如何平衡代码审查的严格程度和开发效率？审查的粒度应该如何控制？

编程练习

练习：为一个Pull Request进行完整的代码审查，使用审查清单逐项检查，提出至少5条有建设性的修改建议，包括功能、性能、安全等方面。

章节关联

• 前置章节：代码规范详解
• 后续章节：持续集成详解
• 扩展阅读：《代码大全》、Google Engineering Practices、《Clean Code》

📝下一章预告

持续集成是现代软件开发的基石。下一章将系统讲解Jenkins Pipeline、GitLab CI、GitHub Actions三大主流工具的使用方法，帮助你构建自动化CI/CD流水线。

本章完