与RuboCop交朋友：Ruby静态代码分析器

在Memory.ai&＃xff0c;我们开始大量使用RuboCop。 这是关于我们如何将RuboCop集成到现有应用程序中的故事。

这不是RuboCop的介绍性帖子。 在深入了解我们的体验报告之前&＃xff0c;请先查看RuboCop是什么。

我们从rubocop &＃xff0c; rubocop-performance &＃xff0c; rubocop-rails和rubocop-rspec宝石开始。 默认情况下&＃xff0c;我们启用了所有警察&＃xff0c;这是我们在rubocop.yml.的初始配置rubocop.yml.

如果您在现有项目中启用了RuboCop随附的所有警察&＃xff0c;则将收到无数警告和冒犯。 在添加上述配置后运行rubocop时&＃xff0c;这非常明显。

工作正在进行中

对于现有项目&＃xff0c;有更好的方法来集成RuboCop。 RuboCop提供了一个.rubocop_todo.yml文件&＃xff0c;该文件记录了我们代码库中的所有违法行为。 当我们触摸特定代码段时&＃xff0c;我们可以一一解决这些违规行为。 因此&＃xff0c;我们不必先解决所有问题。

要开始使用.rubocop_todo.yml &＃xff0c;请执行以下步骤。

您将看到类似的输出&＃xff0c;但是根据代码库的状态&＃xff0c;攻击的数量可能极大&＃xff0c;也可能非常少&＃xff1a;)

这个命令做了三件事。

• 继承自.rubocop_todo.yml的.rubocop.yml&＃xff08;稍后我们会再介绍&＃xff09;
• 在我们所有的代码上运行rubocop
• 生成一个新文件.rubocop_todo.yml

让我们看看.rubocop_todo.yml的内容 。 它记录了我们代码中存在的所有违法行为。 让我们看一下其中一位警察的示例&＃xff0c;以更好地理解。

这Bundler/OrderedGems代码告诉我们&＃xff0c;我们的代码库对Bundler/OrderedGems cop有一个冒犯&＃xff0c;我们该如何解决。 但更重要的是&＃xff0c;它会将存在此违法行为的文件从运行RuboCop的文件列表中排除 。

这是什么意思&＃xff1f; 好吧&＃xff0c;让我们现在尝试在整个项目上运行rubocop。

哇&＃xff01; 我们的代码是干净的&＃xff0c;它通过了所有警察&＃xff0c;聚会的时间&＃xff01;

好吧&＃xff0c;不是真的。 这是需要查看注释从.rubocop_todo.yml继承的.rubocop.yml的地方 。

.rubocop_todo.yml记录我们代码库的所有违法行为&＃xff0c;并且还从将运行rubocop的列表中排除那些文件。

.rubocop.yml继承自.rubocop_todo.yml因此它也从将运行rubocop的列表中排除了那些文件。

当我们运行bundle exec rubocop &＃xff0c;从拿起配置.rubocop.yml这反过来又拾起从配置.rubocop_todo.yml已经排除了所有具有罪行的文件。 所有这些结果从bundle exec rubocop命令变为绿色输出。

因此&＃xff0c;我们仍然拥有RuboCop不喜欢的令人讨厌的代码&＃xff0c;但是我们有一种策略来逐步修复它&＃xff0c;而不是一次全部修复它。

专家提示&＃xff1a;将Rubocop集​​成到现有项目中时&＃xff0c;请始终生成.rubocop_todo.yml。

Git工作流程

下一步自然是对.rubocop_todo.yml文件采取行动&＃xff0c;并在我们触摸现有的攻击性代码并确保我们编写的新代码紧随警察之后&＃xff0c;修复攻击。

我们决定添加一个git钩子&＃xff0c;该钩子将在分阶段的更改上运行RuboCop。 RuboCop提供了--safe-autocorrect选项&＃xff0c;该选项--safe-autocorrect根据特定警察是否被认为可以自动更正来自动更正某些代码。 我们在git commit钩子中利用了这一点&＃xff0c;以便开发人员不必担心手动修复所有问题。 当机器可以做到时&＃xff0c;为什么不呢&＃xff1f;

我们用husky和lint-staged NPM包来实现这一目标。

在package.json添加以下内容

这种配置确保了每当开发人员尝试提交代码时&＃xff0c;RuboCop认为该代码中的安全漏洞以及支持“ 自动更正”机制的警察已得到修复。 此后&＃xff0c;我们的开发人员无需做任何事情&＃xff0c;除了修复RuboCop认为不安全的违法行为。

进行中的工作仍在继续

一旦自动更正git钩子开始起作用&＃xff0c;我们的攻击清单就会开始下降。 我们必须在两者之间重新生成.rubocop_todo.yml才能获得准确的犯罪清单。 我们决定不将.rubocop_todo.yml的再生添加到Git挂钩中&＃xff0c;因为在我们的情况下这很慢。

.rubocop_todo.yml可以从生成它的同一命令中重新生成。

幸福还是痛苦&＃xff1f;

毕竟&＃xff0c;我们希望攻击性代码会减少&＃xff0c;并且代码质量会每天提高&＃xff0c;而不会出现任何错误。 但是我们面临的挑战很少。

自动更正钩子在此过程中对我们的代码进行了一些意外更改。

我们有一段代码&＃xff0c;其中包含方法update_attributes。 rubocop-rails gem具有一个cop ActiveRecord/Aliases rubocop-rails &＃xff0c;可以通过update更改对update_attributes的调用。 尽管此更改仅应在Active Record模型上发生&＃xff0c;但cop不会检查是否在Active Record模型上调用了该方法。

因此&＃xff0c;在我们的案例中&＃xff0c;它将对custom update_attributes的调用更改为update&＃xff0c;但没有更改方法定义。 它仍然是update_attributes。 这导致了错误。 由于我们启用了安全自动校正的Git钩子&＃xff0c;因此开发人员只有在CI中的构建失败时才知道这一点。

我们还遇到了其他一些警察的问题&＃xff0c;例如Rails / SaveBang和Style/StringHashKeys &＃xff0c;他们在那里更改了原本应该Style/StringHashKeys的代码。

最后&＃xff0c;我们决定删除安全的自动更正钩子&＃xff0c;并依靠手动固定攻击性代码。

回馈

当我们遇到与某些警察相关的问题&＃xff0c;这些问题对于使用安全自动更正选项并不真正安全时&＃xff0c;我们尝试通过将补丁提交给RuboCop来解决它们。

1. https://github.com/rubocop-hq/rubocop-rails/pull/101
2. https://github.com/rubocop-hq/rubocop-rails/pull/98
3. https://github.com/rubocop-hq/rubocop/pull/7312

我会鼓励每个人都这样做&＃xff0c;因为它使RuboCop对每个人都更好。

最后&＃xff0c;我将列出从这次采用中学到的知识。

增量采用是关键。

自动更正可能很棘手&＃xff0c;具体取决于您的测试覆盖率和许多其他因素&＃xff0c;因此如果不需要&＃xff0c;请不要使用它。

禁用您的团队不同意的警察。 我们禁用了警察&＃xff0c;例如RSpec/AnyInstance &＃xff0c; RSpec/ExpectInHook, RSpec/AlignRightLetBrace

使用您的发现和代码修复为社区做出贡献 &＃xff0c;从而使RuboCop等关键工具对每个人都变得更好。

想知道我们如何做Ruby和Rails在Memory.ai&＃xff0c;订阅我的通讯 这里 。

您使用RuboCop吗&＃xff1f; 在下面的评论中或在&＃64; _cha1tanya的 Twitter上告诉我

From: https://hackernoon.com/making-friends-with-rubocop-ruby-static-code-analyzer-rp9c36wr