静态分析警告是否会使 CI 构建失败？

Question

我们的团队正在研究项目中静态分析的各种选项，并且对于我们是否希望我们的持续集成构建因静态分析的警告而失败有不同的意见。

反对构建失败的论点是，规则中经常存在例外情况，而试图绕过这些例外只是为了使构建成功会降低生产力。更好的方法是在构建时生成报告，并定期投入开发人员时间来解决报告的问题。

反驳的观点是，如果不立即解决错误，技术债务很容易积累。此外，如果在引入潜在错误时构建失败，修复该错误所需的时间也会减少。

你有什么想法？

Answer 1

就我个人而言，我宁愿看到构建失败。虽然某些警告是误报，但可以使用 Justification 使用 SuppressMessageAttribute 来排除警告。执行此操作时，您可以确保开发人员会评估每个警告，并且不会漏掉任何内容。

Answer 2

构建失败可能是个好主意，但这不一定是一个绝对黑白分明的决定。

Hudson 允许您在新静态分析错误达到某个阈值时让构建失败超过了。因此，您可以说“如果引入 1 个新故障，则将构建标记为不稳定；如果引入 5 个新故障，则将构建标记为失败”。

这是内置于 Hudson 可用的各种分析插件中的东西。

Answer 3

我通常会因静态分析错误而导致构建失败（不仅是 CI 构建，还包括在提交之前在开发人员计算机上运行的构建，并且我使用可以包含在 IDE 中的工具）。

如果你不这样做，我的经验是错误不会得到修复，实际上永远不会，因为如果你认为错误是装饰性的（或者你不允许提交，对吧？），总会有更重要的事情去做。如果存在合理的例外，大多数工具都允许排除代码片段（使用自定义注释或排除过滤器等）。

如果您想使用静态分析，请正确执行，在问题发生时修复问题，不要让错误进一步传播到系统中。一个让这种情况发生的过程 是错误的：

我们来做美式吐司吧：你烧，我刮。 ——W.爱德华兹·戴明。

Answer 4

    艰难的抉择，没有一个好的全球答案。我想同意之前的两篇文章，并说是的，但我的静态分析第二定律指出，缺陷将聚集在组织中软件工程过程最严重的部分。一个推论是，那些被迫匆忙更改代码以使警告消失的工程师，最有可能在这样做时引入新问题；我见过很多这样的错误，令人沮丧。我认为最好的软件工程是在代码外部进行误报标记，例如 Coverity 和 Klocwork，并基于此进行强制执行。
    不言而喻，您关于尽可能大声地跟踪此类新缺陷并及时投入时间避免技术债务的主要观点是极好的想法。

Answer 5

除了因错误而失败之外，您还需要一个过程来调查警告，并决定其中一些警告是否应该成为错误。