审核 29k 行 Drupal 代码需要多长时间？

Question

一位客户询问需要多长时间来审核他的 29k 行长的 Drupal 模块的安全性。有谁知道至少我应该给他什么大概？他主要关心的是文件加密和用户权限。

Answer 1

不，没有任何线索:-)

但是，无论您选择什么值，我可以建议一件事吗？

监控您的进度！告诉您的客户，您的初步估计是（例如）二十九个工作日，但这取决于您无法控制的许多因素。

告诉他们您计划通过提供每日进度快照来降低预算超支的风险：

• 当前已审核的行总数 [a]。
• 度过的天数[b]。
• 当前“运行率”（每天的行数，平均值）[c = a/b]。
• 尚待审核的行数 [d = 29,000 - a]。
• 预计完成天数 [e = d / c]。

如果运行率远低于您的估计，请允许他们随时停止运行。

这种基本的项目管理/报告应该让他们相信您知道自己在做什么，并将大大减少他们的暴露程度，直到他们对接受您感到更加放心。

---

就上面的最后一点而言，您可能需要考虑给他们一个范围（例如估计值的+/-5%），但不要太聪明地根据您最好和最差的日子来计算出最好和最坏的情况迄今为止。平均的力量在于它可以为您提供“最佳”猜测，而无需过多处理数字。

Answer 2

我见过的典型估计是，开发人员每小时可以审查 100-150 行代码。这是一个非常粗略的估计，并且会根据代码的性质和审查的彻底性而有很大差异。另外，如果你可以每周 5 天、每天 8 小时连续审查代码，那么你就很不人道，也很了不起；对于我们其他人来说，我们需要改变活动来清理大脑。