應(yīng)用編碼標準和自動化工具，提高代碼質(zhì)量

嵌入式系統(tǒng)在我們的日常生活中廣泛存在，從消費類電子、醫(yī)療設(shè)備，到汽車，工業(yè)控制，航空航天等，它們的存在已經(jīng)成為我們生活中不可分割的一部分。隨著技術(shù)的不斷進步和客戶需求的增加，嵌入式系統(tǒng)和軟件變得越來越復(fù)雜，同時產(chǎn)品的開發(fā)周期變得越來越短。如何在短時間內(nèi)開發(fā)出高質(zhì)量的軟件對產(chǎn)品的成功起著決定性的作用。

本文將介紹如何應(yīng)用編碼標準和自動化工具，提高代碼質(zhì)量。

關(guān)于代碼質(zhì)量

代碼質(zhì)量總體上是指為軟件編寫的代碼的整體優(yōu)良水平，一般可以通過下面一些指標來評價代碼質(zhì)量：

l  可讀性：代碼應(yīng)該易于閱讀和理解，即使是不熟悉項目的人也是如此。

l  可維護性：代碼應(yīng)該有條理和模塊化，可以方便地修改和更新。

l  可移植性：代碼應(yīng)該被設(shè)計易于在不同的平臺上使用。

l  可重用性：代碼應(yīng)該是可重用的，可以在應(yīng)用程序的其他部分使用。

l  可測試性：代碼應(yīng)該是易于進行單元測試和集成測試的。

l  安全性：代碼應(yīng)該是安全的，保護敏感數(shù)據(jù)并防止惡意攻擊。

l  性能：代碼應(yīng)該是高效的，專注于優(yōu)化性能，以最大限度地減少資源使用。

對于嵌入式系統(tǒng)，代碼質(zhì)量更加的重要。嵌入式系統(tǒng)經(jīng)常是處理執(zhí)行關(guān)鍵任務(wù)功能的設(shè)備。

如果嵌入式軟件存在代碼質(zhì)量問題，可能會導(dǎo)致硬件設(shè)備的故障或安全漏洞，嚴重影響系統(tǒng)的正常運行。

編碼標準是提高代碼質(zhì)量的最佳實踐

基于歷史原因，目前在嵌入式開發(fā)中，主要還是使用C/C++高級編程語言，而C/C++是一種不安全的語言，包含大量未定義的行為，對于這些行為的不同解釋，可能會導(dǎo)致未知或不確定的副作用，其中一部分將會轉(zhuǎn)化為我們俗稱的“Bug”。比如C語言標準庫中的一些輸入輸出函數(shù)，字符串函數(shù)導(dǎo)致的緩沖區(qū)溢出的問題，指針未初始化風(fēng)險，重復(fù)釋放內(nèi)存等等。

同時，軟件開發(fā)執(zhí)行和實施的核心是“人”，也就是開發(fā)人員，在實踐過程中，開發(fā)人員可能會一次又一次無意地將相同類型的錯誤寫入到他們的源代碼中。這一結(jié)論來自各種權(quán)威機構(gòu)，如NASA、貝爾實驗室和MITRE，它們進行了多項調(diào)查和研究。這些研究的結(jié)果是給出了最佳編程實踐或推薦的編程實踐，它們可以有效識別有風(fēng)險和不良的編碼行為。

有許多指南和編碼實踐可用于檢查常見錯誤以及如何避免這些錯誤來提高代碼質(zhì)量，其中一些技術(shù)和實踐在實施過程中，成為眾所周知的編碼標準。編碼標準是編碼規(guī)則、指導(dǎo)方針和最佳實踐的集合，它可以識別語言中容易引起Bug的行為，防止你在源代碼中做可疑的事情，消除容易出現(xiàn)缺陷的代碼結(jié)構(gòu)，幫助你快速提高代碼質(zhì)量。

在嵌入式系統(tǒng)中，MISRA-C/C++，CERT-C/C++，CWE等已經(jīng)成為事實標準。特別是在汽車、醫(yī)療和鐵路等安全關(guān)鍵型應(yīng)用中，被IEC 61508、EN 50128和ISO 26262 等功能安全標準所要求。

很多大公司都有相應(yīng)的代碼編程規(guī)范，尤其是針對C語言，但這些編程規(guī)范往往與業(yè)界的編程標準（比如MISRA C）的側(cè)重點不同。一般公司的編程規(guī)范更加注重代碼風(fēng)格，比如命名，縮進，括號的使用等，來提高可讀性，而業(yè)界的編程標準更偏重于代碼的可維護性，可移植性，可靠性和安全性。在具體實踐中，往往是需要這二者結(jié)合使用。

MISRA

MISRA C由汽車工業(yè)軟件可靠性協(xié)會開發(fā)。它的目的是提高嵌入式系統(tǒng)環(huán)境中的代碼安全性、可移植性和可靠性，特別是那些用 ISO C 編程的系統(tǒng)。

MISRA C標準的第一版“Guidelines for the use of the C language in vehicle based software”于1998年制定，正式名稱為MISRA-C:1998。2004年進行了一次更新“Guidelines for the use of the C language in critical systems”，正式名稱為 MISRA-C:2004。從1998年的vehicle based software到2004年的critical systems，因為MISRA協(xié)會發(fā)現(xiàn)MISRA C不僅汽車行業(yè)需要，其他一些安全相關(guān)的行業(yè)也需要。最新的MISAR C標準是MISRA-C:2012。

關(guān)于MISRA C，很多開發(fā)者都有一個誤解：MISRA C只適用于汽車電子嵌入式軟件開發(fā)。對此，MISRA C的輪值主席Andrew Banks特意做了解釋說明：雖然MISRA最開始推出的時候主要是針對汽車行業(yè)的，但由于它本身其實是在C/C++語言的基礎(chǔ)上，加上了一些約束，去掉了一些讓人容易出錯的編程方法，保留了常用的寫法，盡可能讓開發(fā)者保持一致，提高可維護性和可移植性，從而提高安全性和可靠性，因此 MISRA 在飛機、機器人、無人機、醫(yī)療等其它的嵌入式行業(yè)也開始流行起來，成為了全球公認的嵌入式 C 編程標準。

CERT

CERT C/C++由卡內(nèi)基梅隆大學(xué)軟件工程研究所（SEI）的計算機緊急響應(yīng)小組 （CERT）部門創(chuàng)建和發(fā)布，為C/C++編程語言的安全編碼提供規(guī)則和建議，這些規(guī)則和建議的目標是開發(fā)安全、穩(wěn)定和可靠的系統(tǒng)。

CWE

CWE是基于社區(qū)開發(fā)的一組影響信息安全的軟件和硬件缺陷列表。它用通用語言描述和討論軟件和硬件的缺陷，可以作為缺陷識別、緩解和預(yù)防工作的公共基線標準。因此，CWE可以幫助開發(fā)人員和安全從業(yè)者檢查現(xiàn)有軟件和硬件產(chǎn)品的缺陷，評估針對這些缺陷的工具的覆蓋率等。

編碼標準的應(yīng)用對提高代碼質(zhì)量有立竿見影的作用。在Dr. Dobbs所做的一項研究中（Code Quality Improvement | Dr Dobb's），引入編碼標準進行符合性檢查后，缺陷注入率降低了41%，這節(jié)省了大量測試時間，既提高了代碼質(zhì)量，又縮短了工程時間，從而加速了產(chǎn)品上市。在這項研究中，每個月的缺陷注入率是相當(dāng)穩(wěn)定的，直到該組織引入編碼標準，然后缺陷率急速下降（見下圖）。

隨著對標準遵從度的提高，質(zhì)量也隨之提高，偏差越來越少，缺陷率直線下降。

自動化工具是實施編碼標準的最佳路徑

有了編碼標準后，應(yīng)用標準意味著代碼除了需要遵守語言本身的規(guī)則外，還需要遵守成百上千條編碼標準所包含的規(guī)則和要求。理論上，我們可以通過人工來檢查每條編碼規(guī)則的實施情況，但對于日益復(fù)雜的軟件顯然是力不從心的。大量的實踐表明，應(yīng)用自動化工具是實施編碼標準，提高代碼質(zhì)量的最佳路徑。

自動化工具中我們最熟悉的就是編譯器和鏈接器。高質(zhì)量的編譯器和鏈接器應(yīng)支持現(xiàn)代編程語言，如最新的C和C++規(guī)范，報告每個構(gòu)建步驟中可能出現(xiàn)的問題，以便它生成懷疑的警告，例如易失性變量或內(nèi)存訪問，其評估順序可能會影響應(yīng)用程序的邏輯。警告是第一道靜態(tài)分析檢查，絕不能忽視，尤其是在功能安全設(shè)置中。最好的建議是通過更改編譯器設(shè)置將所有警告都視為錯誤來將警告轉(zhuǎn)化為錯誤。這將迫使開發(fā)人員修復(fù)代碼中的所有歧義，因為所有的警告都將作為真正的問題處理。

專用的靜態(tài)分析工具基于源代碼分析，可以在不執(zhí)行程序的情況下發(fā)現(xiàn)潛在的問題，比如 IAR 提供了與 IAR Embedded Workbench 無縫集成的靜態(tài)分析工具 C-STAT。這種類型的工具可以幫助你找到代碼中最常見的缺陷來源，也可以幫助你找到開發(fā)人員在試圖編寫代碼時往往不會考慮的問題，特別是當(dāng)他們?yōu)榱俗屇承┕δ苓\行而加入支撐代碼時。靜態(tài)分析工具確實能幫助你開發(fā)出更好的代碼，因為它們強制執(zhí)行編碼標準。事實上，如果正在創(chuàng)建一個功能安全認證的應(yīng)用，你可能會被建議，甚至強制要求使用靜態(tài)分析工具。

此外，嵌入式軟件在運行時仍然容易受到算術(shù)問題、緩沖區(qū)溢出、邊界問題、堆完整性和內(nèi)存泄漏的影響。一個可行的方法是在可能發(fā)生潛在錯誤的所有地方插入特定的檢測代碼或斷言來檢測此類錯誤。但是，手動添加指令來檢測并以某種方式在運行時報告問題是一項非常耗時的任務(wù)。因此，使用動態(tài)或運行時分析工具來捕獲和觸發(fā)僅在運行時的缺陷和錯誤，是一個可以極大提高效率和生產(chǎn)力的方法。例如，在 IAR Embedded Workbench 中，開發(fā)人員可以使用運行時分析工具插件 C-RUN。

綜上所述，編譯器和鏈接器可以報告在構(gòu)建中可能出現(xiàn)的問題，靜態(tài)分析工具擅長發(fā)現(xiàn)一些未定義行為的缺陷，檢查編碼標準的符合性，而運行時分析工具擅長發(fā)現(xiàn)只有在執(zhí)行時才會觸發(fā)的缺陷。這些缺陷有時會有重疊，但有時只能在一個域或另一個域中檢測到。為了盡可能提高代碼質(zhì)量，以及發(fā)現(xiàn)問題的效率，需要將幾者結(jié)合使用并盡可能與開發(fā)和構(gòu)建工具集成。下圖矩陣代表組合不同工具時的完整缺陷覆蓋率。

總結(jié)

隨著嵌入式系統(tǒng)的復(fù)雜性提高，對于嵌入式軟件的要求也越來越高，其中最核心最根本的是代碼質(zhì)量，而編碼標準是提高代碼質(zhì)量的最佳實踐。遵循編碼標準的最有效的方式是應(yīng)用自動化工具，包括靜態(tài)分析工具，運行時分析工具，這樣可以有效地在開發(fā)過程中提高代碼質(zhì)量，既減少了項目的開發(fā)時間和成本，又提高了產(chǎn)品的質(zhì)量和競爭力。

參考文獻

1.https://www.misra.org.uk/

2.https://ldra.com/ldra-blog/misra-myths-busted-1-is-misra-c-just-an-automotive-standard/

3.http://www.cert.org/

4.http://cwe.mitre.org/

5.https://www.iar.com/knowledge/learn/code-quality/everything-starts-with-code-quality/

6.https://www.iar.com/knowledge/learn/code-quality/everything-ends-with-code-quality/