老铁们,大家好,相信还有很多朋友对于什么叫底层代码和什么是代码维护的相关问题不太懂,没关系,今天就由我来为大家分享分享什么叫底层代码以及什么是代码维护的问题,文章篇幅可能偏长,希望可以帮助到大家,下面一起来看看吧!
一、什么叫底层代码
底层代码是指被封装好的代码,底层代码写的就是比较原始,比较基础的代码。底层代码编写是非常接近机器的编程,使用底层开发语言(如C或汇编)。这与使用高级语言(例如Python,Java)的程序员进行编程不同。
对于java来说,底层代码一般是指框架的实现代码,这些代码一般都是一些常用代码或比较接近于原始的代码,这些代码封装好,可以方便复用和调用。而对一些操作系统来说,底层代码可能就是c或者汇编,写底层代码就是做底层开发。比如java的Map类,底层代码实现:
扩展资料
编写底层代码一般要比较深厚的功底,对程序设计,代码涉及的各个方面,性能,耦合度,复用性都要很深的掌握和考虑,熟练掌握设计模式,良好的编程习惯,代码优雅,数据结构,精通各种算法。
很多java框架被淘汰,除了本身有致命的bug外,还有就是有性能更好,使用更方便的框架出现,而这些都是靠底层代码实现来决定的。
参考资料:百度百科-底层开发
二、代码审计是什么
代码审计有什么好处
代码审计指的156是检查源代码中的安全缺陷6991,检查程序源代码是否存在安全隐患3780,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析。
代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析,能够找到普通安全测试所无法发现的安全漏洞。
那么,为什么需要做代码审计?代码审计能带来什么好处?
99%的大型网站以及系统都被拖过库,泄漏了大量用户数据或系统暂时瘫痪,近日,英国机场遭勒索软件袭击,航班信息只能手写。
提前做好代码审计工作,非常大的好处就是将先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战,进一步巩固客户对企业及平台的信赖。
通常来说,“黑客”可以利用的漏洞无非有以下几个方面:
1.软件编写存在bug
2.系统配置不当
3.口令失窃
4.嗅探未加密通讯数据
5.设计存在缺陷
6.系统攻击
大家可能就会问了,哪些业务场景需要做好代码审计工作?小型公司的官需要做吗?
代码审计的对象主要是PHP、JAVA、asp、.NET等与Web相关的语言,需要做代码审计的业务场景大概分为以下五个:
1.即将上线的新系统平台;
2.存在大量用户访问、高可用、高并发请求的网站;
3.存在用户资料等敏感机密信息的企业平台;
4.互联网金融类存在业务逻辑问题的企业平台;
5.开发过程中对重要业务功能需要进行局部安全测试的平台;
通常说的整体代码审计和功能点人工代码审计区别吗?
整体代码审计是指代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。但整体代码审计属于白盒静态分析,仅能发现代码编写存在的安全漏洞,无法发现业务功能存在的缺陷。
整体代码审计付出的时间、代价很高,也很难真正读懂这一整套程序,更难深入了解其业务逻辑。这种情况下,根据功能点定向审计、通过工具做接口测试等,能够提高审计速度,更适合企业使用。
功能点人工代码审计是对某个或某几个重要的功能点的源代码进行人工代码审计,发现功能点存在的代码安全问题,能够发现一些业务逻辑层面的漏洞。功能点人工代码审计需要收集系统的设计文档、系统开发说明书等技术资料,以便代码审计服务人员能够更好的了解系统业务功能。由于人工代码审计工作量极大,所以需要分析并选择重要的功能点,有针对性的进行人工代码审计。
安全的安全工程师都具备多年代码审计经验,首先通览程序的大体代码结构,在根据文件的命名第一时间辨识核心功能点、重要接口。下面就介绍几个功能、接口经常会出现的漏洞:
1.登陆认证
a.任意用户登录漏洞
b.越权漏洞
2.找回密码
a.验证码爆破漏洞
b.重置管理员密码漏洞
3.文件上传
a.任意文件上传漏洞
b. SQL注入漏洞
4.在线支付,多为逻辑漏洞
a.支付过程中可直接修改数据包中的支付金额
b.没有对购买数量进行负数限制
c.请求重访
d.其他参数干扰
5.接口漏洞
a.操作数据库的接口要防止sql注入
b.对外暴露的接口要注意认证安全
经过高级安全工程师测试加固后的系统会变得更加稳定、安全,测试后的报告可以帮助管理人员进行更好的项目决策,同时证明增加安全预算的必要性,并将安全问题传达到高级管理层,进行更好的安全认知,有助于进一步健全安全建设体系,遵循了相关安全策略、符合安全合规的要求。
三、什么是程序员什么是代码
程序员所写的代码,是为某一特定程序或某一个应用程序所制定的编码和内部测试的组织实施,使此应用或程序应能够在程序员编写的代码中,实现各种功能。程序员(英文Programmer)是从事程序开发、程序维护的专业人员。一般将程序员分为程序设计人员和程序编码人员,但两者的界限并不非常清楚,特别是在中国。软件从业人员分为初级程序员、中级程序员、高级程序员(现为软件设计师)、系统分析员,系统架构师,测试工程师六大类。代码又臭又长
我见过最长的方法是5000多行,那段代码没人敢动,只敢往下加 if else,每次需要改这段代码的开发都战战兢兢,生怕出现什么莫名其妙的bug。java可是一门面向对象的语言,一个方法里面有5000多行可以说是很可恶的事情了。我想一开始代码长度可能没这么夸张,是什么导致这种结果的?一个是当初写这段代码的人本身写的是直来直去的方法,一堆if else;后面迭代的开发,面对这么长的代码瞬间失去了从头读到尾的耐心,直接继续在后面加 if else迭代,最后这个方法就变成了一个缝合怪一样的玩意。
好的 sql可以很大程度上简化代码的复杂程度,但是太过复杂sql本身就会给后来的开发人员造成阅读困难,结果又是变成一条无人敢动的祖传代码,我想这应该是不少公司极度抵制存储过程的原因之一。当然不少银行应用开发还是大量使用存储过程,存储过程有用武之地的,但是一个又臭又长的存储过程就等着变成祖传代码吧。当年我见到一个60多个join的sql,看到第一眼就惊为天人从此难以忘怀,当然那段sql也成了没人敢去动的代码了。
代码逻辑不明
代码逻辑不明所以是我们开发很容易去犯的毛病,是一个不致命却烦人的毛病。在代码上的体现是,逻辑判断写的比较反人类各种双重否定是肯定,不把你绕晕不罢休。或者是写起代码来东一榔头西一棒槌,让人不知道你想干嘛。导致这个的原因有可能是开发人员在需求理解上出现偏差,做到后面发现不对劲,再回去改又不大可能了,只能硬着头皮往下写,结果就是代码弯弯绕绕;还有很重要的锅是在产品经理,任意变更需求,想一出是一出,开发人员无奈只能跟着想一出写一出。还用可能是开发人员方法或者类命名太艺术了,什么四川方言拼音这种没有十年脑血栓想不出的命名咱就不说了。就说那种国产凌凌漆式的无厘头命名——这看上去是个刮胡刀实际上是个吹风机,就这种不知道让人说什么好。
规划代码的核心思想
吐槽了一堆代码规范问题,接下来我们说说如何去规范我们的代码以及如何做到就算开发人员更换了,或者项目转手给他人了,仍然可以让后面的开发可以无碍的去阅读代码修改代码。当然各个公司/团队都有自己的一套代码规范,比如项目的结构、代码命名风格、代码格式等等。不同团队有不同的风格,但核心思想是大同小异的。接下来我就我个人的开发经验来分享一下一些代码规范的思想。
