عملية مراجعة التعليمات البرمجية هي جزء من عملية تطوير البرمجيات التي تنطوي على اختبار الشفرة البرمجية المصدر لتحديد الأخطاء في مرحلة مبكرة. عادةً ما يتم إجراء عملية مراجعة التعليمات البرمجية قبل الدمج مع قاعدة التعليمات البرمجية.
تمنع مراجعة التعليمات البرمجية الفعالة الأخطاء والمشاكل من الوصول إلى مشروعك من خلال تحسين جودة الكود في مرحلة مُبكرة من عملية تطوير التطبيقات.
تقوم أداة مراجعة التعليمات البرمجية بأتمتة عملية تدقيق الكود. فهي تُساعد في تحليل الشفرة المستقرة وهو أمر أساسي للحصول على تطبيق موثوق به. هناك عدد كبير من أدوات مراجعة التعليمات البرمجية في السوق واختيار أيها الأفضل لمشروعك يُمكن أن يكون تحديًا.
على الرغم من أنني كنت دائمًا داعمًا قويًا للتطبيقات المجانية والمفتوحة المصدر ، إلا أنه من الصعب مُراجعة التعليمات البرمجية لكل تطبيق يدويًا وأتطلع كثيرًا إلى الحصول على أداة مراجعة التعليمات البرمجية المثالية.
تُساعدك هذه الأدوات على اكتشاف عادات البرمجة السيئة بسرعة ، والتغييرات الرئيسية في ميزات المُكوّن ، والمكونات عالية المخاطر ، والأخطاء الأمنية ، وما إلى ذلك. علاوة على ذلك ، غالبًا ما تكون النتائج لهذه الأدوات عبارة عن مؤشرات قائمة على واجهة المستخدم الرسومية مما يجعل من السهل فهمها دون الحاجة لإتقان اللغة البرمجة المذكورة . مع ذلك ، لا يتم إنشاء جميع تطبيقات مراجعة التعليمات البرمجية بنفس الشكل. لذا ، إليك أفضل أدوات مراجعة الكود لكل من الأفراد والمؤسسات.
أفضل أدوات مراجعة التعليمات البرمجية
1. Gerrit
Gerrit هي أداة لمراجعة التعليمات البرمجية المُستندة إلى الويب تم تطويرها بواسطة Google وتتطلب تشغيل خادم JDK. تعمل بشكل متزامن مع GitHub. لذا ، قبل دفع الشفرة البرمجية إلى الإنتاج ، تمر عبر Gerrit حيث يُمكن لأقرانك مراجعة الكود. تدعم Gerrit دفع المشروع عبر أوامر git باستخدام SSH أو HTTPS. على سبيل المثال ، تُريد تحميل مشروعك إلى Gerrit للمراجعة. يُمكنك استخدام SSH للوصول إلى خادم Gerrit واستخدام “git push” لتحميل المستودعات الخاصة بك إلى Gerrit.
تقدم Gerrit أيضًا مجموعة من المكونات الإضافية مثل CodeMirror و Phabriactor للتوصيل مع أدوات مراجعة التعليمات البرمجية الأخرى والحصول على وظائف إضافية.
نظرة عامة:
- تتكامل بشكل جيد مع GitHub.
- تعمل مع خوادم SSH و HTTP الممكّنة.
- تدعم لغات محدودة مثل C ، C++.
تنزيل Gerrit
2. RhodeCode
RhodeCode هي أداة أخرى لمراجعة التعليمات البرمجية من النظير مثل Gerrit تعمل بشكل متزامن مع GitHub. ومع ذلك ، فإنها تتكامل أيضًا بشكل جيد مع Mercurial & Subversion. بالمقارنة مع Gerrit ، فإنها تُوفر واجهة مستخدم أكثر ثراءً وبديهية. يمكنك التعليق بشكل مضمن وإجراء تغييرات على الكود من خلال واجهة الويب لـ RhodeCode نفسها. على عكس اضافات Gerrit ، تُوفر RhodeCode لك واجهة برمجة تطبيقات JSON-RPC لإنشاء أدوات خارجية باستخدامها. الميزة الأكثر تفضيلاً لدي هي التغيير البصري المرئي الذي يوفر رؤية شاملة للتغييرات التنموية ويساعد في الحفاظ على المسار.
بالإضافة إلى ذلك ، يُمكنك أيضًا الإستفادة من ميزات الأمان مثل إشعارات قاعدة المستودع. وإبلاغ المشرف عن الأنشطة المشبوهة في المستودع. يُمكنك أيضًا تقييد الوصول إلى المستودع على نطاقات IP مُعينة.
نظرة عامة:
- أداة مراجعة التعليمات البرمجية من النظير.
- مُحرر مضمن داخل واجهة الويب لـ RhodeCode.
- خيارات الأمان للتدقيق ، ACL ، تصفية عناوين IP ، إلخ.
تنزيل RhodeCode
3. Find SecurityBugs
Find SecurityBugs ، على عكس الاسم ، هي إضافة للعثور على جميع أنواع الأخطاء في التعليمات البرمجية الخاصة بك. يُمكن أن تكتشف ممارسة التعليمات البرمجية السيئة ، والصواب ، والاختناقات في الأداء ، والأخطاء الأمنية ، والكود المراوغ ، والتصحيح متعدد مؤشرات الترابط ، وما إلى ذلك. تعمل الإضافة بشكل متزامن مع مستودع Maven Central. ومع ذلك ، إذا كنت تستخدم IDE. يمكن استخدامها محليًا بالاشتراك مع Netbeans و Eclipse و IntelliJ و Jenkins و Sonar Qube. على سبيل المثال ، كنت أستخدم Eclipse. في سوق Eclipse ، تتوفر تحت اسم “SpotBugs”. لذلك ، كانت عملية التثبيت سهلة ومباشرة إلى حد ما.
التحذير الوحيد مع Spotbugs هو أنها تعمل فقط مع أكواد Java وتطبيقات Java EE.
اللغات المدعومة: Java ، Java EE.
نظرة عامة:
- تعمل بشكل متزامن مع مستودع Maven Central.
- تتوفر كإضافة لـ Eclipse ، Jenkins ، Netbeans ، الخ.
تنزيل Find SecurityBugs
4. SearchDiggity
SearchDiggity هي مشروع يجمع بين أدوات القرصنة الشائعة مثل GoogleDiggity و BingDiggity و SHODAN Diggity و FlashDiggity وما إلى ذلك. إنها في الغالب أداة للتحقق من الشفرة البرمجية لتطبيقات الويب أو خادم التطبيقات. حيث تستخدم محرك بحث Google و Bing و SHODAN للهجوم على موقع الويب أو الخادم الخاص بك والتسلل إليه. وتستخدم مجموعة من التعبيرات العادية في استعلامات البحث لتسريب البيانات. على سبيل المثال ، يمكن لـ SearchDiggity التحقق مما إذا كانت مفاتيح AWS مخزنة في نص عادي أو إذا كان تسجيل الدخول إلى موقع الويب الخاص بك عرضة لحقن SQL.
إنها أداة لا بد منها إذا كان خادم الويب الخاص بك يتعامل مع كمية كبيرة من حركة مرور الويب ويستضيف الكثير من البيانات.
في حالة ظهور الخطأ “تم اكتشاف Google Bot ، الإيقاف المؤقت للفحص لمدة 15 دقيقة” ، يُمكنك تغيير SearchDiggity لاستخدام واجهات برمجة التطبيقات الرسمية المدفوعة التي تقدمها Google و Bing و SHODAN ضمن Help -> Contents.
نظرة عامة:
- القدرة على التحقق من حقن SQL ، والمنافذ الضعيفة على خادم الويب الخاص بك.
- تعمل على استخدام محرك بحث Google و Bing و SHODAN.
- تدعم Windows فقط.
تنزيل SearchDiggity
5. Phabricator
Phabricator عبارة عن مجموعة من الأدوات المجانية لمراجعة الشفرة البرمجية على الويب. إنه تطبيق LAMP (Linux ، Apache ، MySQL ، PHP) مكتوب بلغة PHP وهو أكثر من أداة تدقيق وتعاون مثل GitHub.
يُمكنك تجربة Phabricator قبل تثبيته على خادم LAMP. لديها مثيل ويب مستضاف يسمى Phacility. يُمكنك المزامنة بين مستودعات GitHub أو SVN الخاصة بك إلى هذا المثيل مباشرة. أهم أداة في Phabricator هي Differential. وهي تعمل بشكل مماثل لـ GitHub Commits. بمجرد دفع التغيير ، فإنها تخطر جميع المستخدمين لمراجعة التغيير. تُقدم عرضًا كاملاً للتغييرات والتعليمات البرمجية. بعد المراجعة بنجاح ، تتم الموافقة على التغيير ويمكن دفعها إلى الإنتاج.
اللغات المدعومة: NA
نظرة عامة:
- خادم LAMP.
- التعاون ومراجعة التغييرات في التعليمات البرمجية مع مستخدمين آخرين.
- تدقيق إجراءات المستخدم على خادم الويب.
- لا يعمل على جهاز يعمل بنظام Windows.
6. MS Application Inspector
أطلقت Microsoft مؤخرًا أداة مراجعة التعليمات البرمجية الخاصة بها والتي تُسمى Application Inspector. وفقًا لـ Microsoft ، تم تصميم هذه الأداة لتحليل التطبيقات مفتوحة المصدر وتحليل ما تؤديه الشفرة والمكتبات باختصار. لاستخدام Application Inspector ، يجب عليك تثبيت حزمة “dotnet-sdk“. إخراج التقرير يكون في تنسيق ملف HTML. لقد جربتها على تطبيق Nylas الإلكتروني وملخص التقرير موجز للغاية.
تم تقسيم العرض التقديمي بشكل جيد ويتم تصنيف ميزات التطبيق والبروتوكولات المستخدمة وواجهات برمجة التطبيقات التي يتم استدعاؤها ، إلخ. على سبيل المثال ، فيما يتعلق بتخزين البيانات ، يستخدم التطبيق بريد Nylas SQL وقليلًا من NoSQL لخدمات المراسلة السحابية PubSub. ما عليك سوى النقر على زر تخزين البيانات وزر “عرض” بجانب التفاصيل. ستعرض لك القواعد المرتبطة على اليسار وعند النقر عليها ، ستحصل على مراجعة الشفرة في النافذة المنبثقة. من السهل جدًا وبشكل سريع تدقيق التعليمات البرمجية ومراجعتها.
اللغات المدعومة: C و C++ و C # و Java و JavaScript و HTML و Python و Objective-C و Go و Ruby و PowerShell و (API) AWS و Azure.
نظرة عامة:
- تقرير موجز وسهل التوصيل ومراجعة التعليمات البرمجية.
- تدعم عدد من اللغات البرمجية.
تنزيل MS Application Inspector
الكلمات الختامية
أستخدم Microsoft Application Inspector بسبب نهج التشغيل والتدقيق السهل. كما تدعم مجموعة كبيرة من اللغات البرمجية وتُقدم فكرة جيدة إلى حد ما عن الشفرة البرمجية. إذا كان لديك خادم ويب مُخصص خاص بك ، فإن Gerrit أو Phabricator هي بدائل جيدة لـ GitHub. لمزيد من المشكلات أو الاستفسارات ، أخبرني في التعليقات أدناه.
