说明

MindSpore Python编程规范以PEP8为基础，参考华为Python通用编码规范、安全编程规范，并结合业界共识整理而成，参与MindSpore社区开发需要首先遵循本规范内容（与PEP8冲突部分），其余遵循PEP8规范。

如果对规则异议，建议提交issue并说明理由，经MindSpore社区运营团队评审接纳后可修改生效。
a

适用范围

MindSpore开源社区（https://gitee.com/mindspore/）。

1. 代码风格

1.1 命名

<font size=3>规则 1.1.1 包名，模块名：小写，不使用下划线。</font>

<font size=3>规则 1.1.2 类名：使用驼峰格式，首字母大写，私有类下划线前缀。</font>

class _Foo:
    _instance = None
    pass

<font size=3>规则 1.1.3 函数名、变量名：小写，多个单词下划线分割。</font>

def _func_example(path):
    pass

<font size=3>建议 1.1.4 除迭代器与计数器除外，禁止使用单字符命名。</font>

1.2 格式

<font size=3>规则 1.2.1 每行字符数不要超过 120 个。</font>

如果超过120个字符，请选择合理的方式进行换行。

<font size=3>规则 1.2.2 使用空格进行缩进，每次缩进4个空格，禁止tab缩进。</font>

<font size=3>规则 1.2.3 import顺序：标准库、第三方、自定义模块。</font>

<font size=3>规则 1.2.4 返回语句和条件语句中不使用括号。</font>

<font size=3>规则 1.2.5 模块级函数和类之间双空行，类成员函数之间一空行，注释与代码间按需添加空行，原则上不超过两空行。</font>

<font size=3>规则 1.2.6 无效或冗余代码直接删除，不要以注释、TODO等方式保留在代码中，建议提issue记录。</font>

1.3 注释

<font size=3>规则 1.3.1 文件头注释必须包含版权声明。</font>

所有python文件，均需包含如下版权声明：

# Copyright 2019 Huawei Technologies Co., Ltd
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
# http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.
# ============================================================================
"""
Add notes.
"""

import xxx

关于版权说明，应注意：
2020年新建的文件，应该是Copyright 2020 Huawei Technologies Co., Ltd
2019年创建年份，2020年修改年份，应该是Copyright 2019-2020 Huawei Technologies Co., Ltd

<font size=3>规则 1.3.2 对外的类、方法、算子、Cell注释格式。</font>

• class 和 def 的注释格式相同，采用业界通用的python注释语法，写在声明下方并缩进，所有的 class 和 def 都需要写注释，模块内部的类和方法可以只写一条简介。
• 注释格式详见MindSpore注释规范。

<font size=3>规则 1.3.3 不允许通过注释屏蔽pylint告警。</font>

1.4 日志

<font size=3>规则 1.4.1 异常日志文本首字母大写。</font>

<font size=3>规则 1.4.2 日志文本中变量名必须使用单引号注明。</font>

2. 通用编码

2.1 接口声明

<font size=3>规则 2.1.1 用户接口在文件的all中说明，all摆放在import与代码之间。</font>

<font size=3>规则 2.1.2 当前文件使用的非对外方法命名采用下划线前缀，内部跨模块使用的方法无需下划线前缀，用户接口在all中声明。</font>

2.2 数据校验

<font size=3>规则 2.2.1 对所有外部数据进行合法性检查，包括但不限于：函数入参、外部输入命名行、文件格式，文件大小、环境变量、用户数据等。</font>

<font size=3>建议 2.2.2 必须对文件路径进行规范化后再使用。</font>

当文件路径来自外部数据时，需要先将文件路径规范化，如果没有作规范化处理，攻击者就有机会通过恶意构造文件路径进行文件的越权访问：

例如，攻击者可以构造“../../../etc/passwd”的方式进行任意文件访问。

在linux下，使用realpath函数，在windows下，使用PathCanonicalize函数进行文件路径的规范化。

<font size=3>规则 2.2.3 禁止调用OS命令解析器执行命令或运行程序。</font>

使用未经校验的不可信输入作为系统命令的参数或命令的一部分，可能导致命令注入漏洞。对于命令注入漏洞，命令将会以与Python应用程序相同的特权级别执行，它向攻击者提供了类似系统shell的功能。在Python中，os.system 或 os.popen 经常被用来调用一个新的进程，如果被执行的命令来自于外部输入，则可能会产生命令和参数注入。

执行命令的时候，请注意以下几点：

1. 命令执行的字符串不要去拼接输入的参数，如果必须拼接时，要对输入参数进行白名单过滤。
2. 对传入的参数要做类型校验，例如：整数数据，可以对数据进行整数强制转换。
3. 保证格式化字符串的正确性，例如：int类型参数的拼接，对于参数要用%d，不能用%s。

【错误代码示例1】

攻击者可以通过找到环境变量APPHOME对应的值，并且在相应目录下放置常量INITCMD对应的攻击程序，达到执行的效果：

    home = os.getenv('APPHOME')
    cmd = os.path.join(home, INITCMD)
    os.system(cmd)

【错误代码示例2】

没有校验属性 backuptype 的值，这个是用户输入的，攻击者可能进行攻击，

例如：用户输入的是：" && del c:\dbms\. "：

    # 值来自用户配置
    btype = req.field('backuptype')
    cmd = "cmd.exe /K \"c:\\util\\rmanDB.bat " + btype + "&&c:\\util\\cleanup.bat\""
    os.system(cmd)

【错误代码示例3】

没有校验属性 backuptype 的值，这个是用户输入的，攻击者可能进行攻击，例如：用户输入的是：" && del c:\dbms\. "：

    import os
    import sys
    try:
        print(os.system("ls " + sys.argv[1]))
    except Exception as ex:
        print('exception:', ex)

攻击者可以通过以下命令来利用这个漏洞程序：

    python test.py ". && echo bad"

实际将会执行两个命令：

    ls .
    echo bad

【正确代码示例】

避免使用 os.system，可以使用标准的 API 替代运行系统命令来完成任务：

    import os
    import sys
    
    try:
        print(os.listdir(sys.argv[1]))
    except Exception as ex:
        print(ex)

2.3 异常行为

<font size=3>规则 2.3.1 异常必须被妥当处理，禁止抑制或者忽略已检查异常。</font>

每一个except 块都应该确保程序只会在继续有效的情况下才会继续运行下去。except 块必须要么从异常情况中恢复，要么重新抛出适合当前catch块上下文的另一个异常以允许最邻近的外层try-except 语句块来进行恢复工作。

【正确代码示例】

正确的做法是，避免使用 os.system，可以使用标准的 API 替代运行系统命令来完成任务：

    validFlag = False
    while not validFlag:
        try:
            # If requested file does not exist, throws FileNotFoundError
            # If requested file exists, sets validFlag to true
            validFlag = True
        except FileNotFoundError:
            import traceback
            traceback.print_exc()

【例外情况】：

1. 在资源释放失败不会影响程序后续行为的情况下，释放资源时发生的异常可以被抑制。释放资源的例子包括关闭文件、网络套接字、线程等等。这些资源通常是在except或者fianlly块中被释放，并且在后续的程序运行中都不会再被使用。因此，除非资源被耗尽，否则不会有其他途径使得这些异常会影响程序后续的行为。在充分处理了资源耗尽问题的情况下，只需对异常进行净化和记录日志（以备日后改进）就足够了；在这种情况下没必要做其他额外的错误处理。
2. 如果在特定的抽象层次上不可能从异常情况中恢复过来，则在那个层级的代码就不用处理这个异常，而是应该抛出一个合适的异常，让更高层次的代码去捕获处理，并尝试恢复。对于这种情况，最通常的实现方法是省略掉catch语句块，允许异常被广播出去。

<font size=3>规则 2.3.2 使用try…except…结构对代码作保护时，需要在异常后使用finally…结构保证操作对象的释放。</font>

使用try…except…结构对代码作保护时，如果代码执行出现了异常，为了能够可靠地关闭操作对象，需要使用finally…结构确保释放操作对象。

【正确代码示例】

    handle = open(r"/tmp/sample_data.txt") # May raise IOError
    try:
        data = handle.read() # May raise UnicodeDecodeError
    except UnicodeDecodeError as decode_error:
        print(decode_error)
    finally:
        handle.close() # Always run after try:

<font size=3>规则 2.3.3 不要使用“except:”语句来捕获所有异常。</font>

在异常这方面, Python非常宽容,“except:”语句真的会捕获包括Python语法错误在内的任何错误。使用“except:”很容易隐藏真正的bug，我们在使用try…except…结构对代码作保护时，应该明确期望处理的异常。Exception类是大多数运行时异常的基类，一般也应当避免在except语句中使用。通常，try只应当包含必须要在当前位置处理异常的语句，except只捕获必须处理的异常。比如对于打开文件的代码，try应当只包含open语句，except只捕获FileNotFoundError异常。对于其他预料外的异常，则让上层函数捕获，或者透传到程序外部来充分暴露问题。

【错误代码示例】

如下代码可能抛出两种异常，使用“except:”语句进行统一处理时，如果是open执行异常，将在“except:”语句之后handle无效的情况下调用close，报错handle未定义。

    try:
        handle = open(r"/tmp/sample_data.txt") # May raise IOError
        data = handle.read() # May raise UnicodeDecodeError
    except:
        handle.close()

【正确代码示例】

    try:
        handle = open(r"/tmp/sample_data.txt") # May raise IOError
        try:
            data = handle.read() # May raise UnicodeDecodeError
        except UnicodeDecodeError as decode_error:
            print(decode_error)
        finally:
            handle.close()
    except(FileNotFoundError, IOError) as file_open_except:
        print(file_open_except)

<font size=3>规则 2.3.4 不在except分支里面的raise都必须带异常。</font>

raise关键字单独使用只能出现在try-except语句中，重新抛出except抓住的异常。

【错误代码示例】

    a = 1
    if a == 1:
        raise

【正确代码示例1】raise一个Exception或自定义的Exception

    a = 1
    if a == 1:
        raise Exception

【正确代码示例2】在try-except语句中使用

    try:
        f = open('myfile.txt')
        s = f.readline()
        i = int(s.strip())
    except IOError as e:
        print("I/O error({0}): {1}".format(e.errno, e.strerror))
    except ValueError:
        print("Could not convert data to an integer.")
    except Exception:
        print("Unexpected error:", sys.exc_info()[0])
    raise

2.4 序列化和反序列化

<font size=3>规则 2.4.1 pickle存在安全性问题，禁止使用pickle.load、cPickle.load和shelve模块加载不可信数据。

<font size=3>规则 2.4.2 使用安全随机数。</font>

Python产生随机数的功能在random模块中实现，实现了各种分布的伪随机数生成器。产生的随机数可以是均匀分布，高斯分布，对数正态分布，负指数分布以及alpha，beta分布，但是这些随机数都是伪随机数，不能应用于安全加密目的的应用中。

请使用/dev/random生成安全随机数，或者使用在python 3.6版本官方引入的secrets模块生成安全随机数。

【错误代码示例】

    import random

    # 伪随机数
    func = random.SystemRandom()
    print(func.random())
    print(func.randint(0, 10))

【正确代码示例】

    import platform

    # 长度请参见密码算法规范，不同场景要求长度不一样
    randLength = 16
    if platform.system() == 'Linux':
        with open("/dev/random", 'rb') as file:
            sr = file.read(randLength)
            print(sr)

<font size=3>规则 2.4.3 assert语句通常只在测试代码中使用，禁止在Release版本中包含assert功能。</font>

assert只应在研发过程中内部测试时使用，出现了AssertionError异常说明存在软件设计或者编码上的错误，应当修改软件予以解决。在对外发布的生产版本中禁止包含assert功能。