一、代码静态检查

使用 SVACE 静态检查系统，每天都会有检查报告。

静态检查问题举例：

1.FALL_THROUGH

使用 switch-case 时，出现 one case falls through to the next case 情况。

2.FB.BC_UNCONFIRMED_CAST

使用类型转换时，出现 Unchecked/unconfirmed cast from ... to ... 情况。

3.FB.RV_RETURN_VALUE_IGNORED_BAD_PRACTICE

调用有返回值的方法时，忽略掉了返回值。

4.FB.ST_WRITE_TO_STATIC_FROM_INSTANCE_METHOD

在实例方法中修改静态变量的值。

5.NO_LOCK.STAT.EX

使用变量时没有加锁，然而该变量在其它地方使用时都有加锁。

二、代码安全审查

使用安全审查系统，一年提交一次审查。

安全审查问题举例：

1.open_ad_sdk.aar（文件安全）

问题描述：This code will change path "/data/user/0/xxx/cache/Download" permission to "777"

对应文件：class com.bytedance.sdk.openadsdk.downloadnew.a
class LibHolder

修改要求：Change permissions to "664" or lower.

2.open_ad_sdk.aar（网络安全）

问题描述：HostnameVerifier always returns true without verifying any host name

对应文件：class HTTPSTrustManager

修改要求：The configuration makes the HTTPS connection easy to suffer MITM() attack.

Suggestion: to check the host name in HostnameVerifier, verify the server certification or use SSLSocketFactory.STRICT_HOSTNAME_VERIFIER mode in TLSSocketFactory.

3.open_ad_sdk.aar（密码安全）

问题描述：Some symmetric secret keys are written in code.
Although these secret keys are in base64 form, they are decoded easily.

对应文件：class com.bytedance.sdk.openadsdk.core.b
class com.bytedance.sdk.openadsdk.core.a

修改要求：1: the first two letters are not used for secret key.
2: some keys are repeated twice or more times, and then get substring of the concatenated keys.

三、软件架构成熟度

使用 CQA 系统，每天都会有检查报告。

SAM（S/W Architecture Maturity，软件架构成熟度）指标：

1.CC（Cyclomatic Complexity）圈复杂度

① 定义

圈复杂度也称为条件复杂度，是模块结构复杂度的度量，数量上表现为独立路径的条数，即合理的预防错误所需测试的最少路径条数。

② 计算方法

圈复杂度 =（1 + ifs + loop + case），其中

• ifs：number of if, else if，else statements in the current function

• loop：number of for, while, and do-while statements in the current function

• case：the number of switch branches in the function (without default)

③ 阈值

Cyclomatic Complexity	Risk Evaluation
1-10	一个没有太大风险的简单模块
11-20	具有中等风险的更复杂模块
21-50	高风险的复杂模块
51 and greater	风险极高的不稳定项目

④ 降低方法

分两个方向降低圈复杂度，一是拆分函数，二是尽量减少 if、else、while、case 等这些流程控制语句。

2.DC（Duplicate Code）重复代码

3.MCD (Module Circular Dependency) 模块循环依赖

① 定义

模块循环依赖是指两个或多个模块之间相互依赖，形成了一个循环的依赖关系。

② 解决方法

• 重构代码，将相互依赖的模块分离出来，使它们不再相互依赖。
• 使用中间件，将相互依赖的模块分离出来，使它们不再相互依赖。

4.CBO（Coupling Between Objects）对象间耦合

① 定义

类耦合也称为对象间耦合，类耦合是衡量单个类使用多少类的指标。

② 解决方法

遵循单一职责原则，分离职责，减少类耦合。

5.LOC（Lines Of Code of class）代码行数

① 定义

代码行数是一种用于衡量软件规模的指标，他表示源代码中的代码行数。

② 减少方法

精简代码，进行模块化设计，减少不必要的代码行数。

6.DEP（Dependency Complexity）模块依赖复杂度

7.GM（God Module）上帝模块