Code REview

Revisão

avaliação formal de algo com a intenção de promover mudanças, se necessário.

Code Review

Análise do código fonte com intuito de achar defeitos:

  • Segurança, Funcional, Performance...
  • Complementa a análise estática.
  • Detecção antecipada.

COMPLIANCE

  • PCI-DSS - Payment Card Industry Data     Security Standard (since 2005 - version 3.0)
  • Requirement : 
  • “Review custom code prior to release to   producion or customers in order to identify any potencial coding vulnerability (using either manual or automated processes) …“   

Metodos

Os métodos de code review podem variar muito de acordo com a profundidade da análise.

Formal

  • Linha a linha.
  • Múltiplos reviewers.
  • Review em grupo.
  • Cópias impressas.
  • Encontra problemas difíceis de encontrar.
  • Gasta tempo.

Leve

  • Análise superficial.
  • Análise baseadas em padrões.
  • Revisa apenas funções críticas.
  • Fácil de deixar passar problemas mais simples.
  • Gasta menos tempo.
  • Bom para encontrar vunerabilidades básicas.

Como pode ser feito

  • Manual
  • Automática
  • Ambos

3 Regras para um REview

Regra 1

O reviewer não pode ser quem escreve o código.

  • Se somos capazes de achar bugs no código, somos capaz de evitá-los.
  • Análise Parcial.
  • O reviewer deve ter uma perspectiva diferente do desenvolvedor.
  • O reviewer (preferencialmente) deve participar de outro projeto.

Regra 2

O reviewer deve entender a linguagem sendo revisada.

Regra 3

Foco no Objetivo: segurança, performance, funcionalidade, etc. 

Não deve basear-se em preferências pessoais.

Regra 4?

Não procure apenas por defeitos, elogie quando achar coisas legais e tente aprender com essa oportunidade.

Um pouco mais sobre motivaçÃo

como motivar os reviewers?

Dizer

"Code review é obrigatorio" não vai funcionar!

  • Os devs tem coisas mais interessantes para fazer.
  • Os devs tem mais o que fazer.
  • Os devs tem deadlines agressivos e a revisão acaba facilmente sendo desconsiderada.
  • Os devs não gostam do código alheio.
  • Os devs não sabem O QUE revisar. 

A grande Pergunta

O que revisar?

Não deixem os devs escolherem o que revisar arbitrariamente.

Code review são para Reviewers

  • Utilize uma ferramenta para gerenciar o que é associado para cada reviewer.
  • Cada reviewer tem uma fila de revisões a serem feitas.
  • 1 revisão = 1 Pull Request 

garanta

  • Cobertura de código - Todo o código deve ser revisado.
  • Responsabilidade - O desenvolvedor tem uma tarefa publicamente associada a ele.
  • Entregáveis - Crie evidências, aumente a motivação para revisar.

Fluxo de Trabalho

BRANCH - DISCUSS - MERGE

BRANCH 

DISCUSS 

MERGE 

MERGE 

MERGE 

PRECISAMOS FALAR SOBRE DESIGN REVIEW

Design Review

É muito frustrante descobrir ao fim de uma implementação que o design é ruim e ter que troca-lo.

Até mesmo deixar o design ruim e não escalavel, com isso nossa code-base piora inegavelmente, pois o custo de manutenção aumenta exponencialmente com o tempo.

Como fazer?

Durante a fase de analise da issue, utiliza-se de um um outro dev para discutir a idéia do que será implementado.

 

 (Dev que auxilia pode (deve?) lançar horas na issue do colega em casos de analises mais complexas)

Exceções

Post-Commmit Review

A atividade de code review tardio.
O que não deveria acontecer, mas vem se tornando comum, ou pela falta de capacitados para a tarefa de code review ou pela urgência de algumas entregas.

 

Faz-se a entrega e cria-se uma tarefa de débito técnico na ferramenta de Issue Tracker para a revisão do código entregue sem revisão.

(Alinhe essa necessidade com sua equipe/time)

Eu ouvi          ?

Code Review + JIRA

Obrigado!

 

alexrios.github.io

alex.rios@protonmail.com

@alextrending

Code Review

By Alex Rios

Code Review

Importância do Code Review

  • 455