코드 검토

3. 종류

IEEE 1028에 코드 검토 프로세스의 추가 유형이 명시되어 있다.^[5]

• 관리 검토
• 기술 검토
• 감사

3. 1. 코드 규칙 검사 (Coding Rule Check)

3. 2. 실패 검출 (Fault Detection)

3. 3. 워크스루 (Walk-through)

3. 4. 검사 (Inspection)

• 코드 규칙 검사: 미리 정의된 코딩 규칙에 따라 코드가 작성되었는지 검사한다. 빠른 시간 안에 검토가 가능하고 품질 향상 효과가 크지만, 오류 검출율은 낮다.
• 실패 검출(Fault Detection): 오류를 유발하는 코드 형태를 추적하여 발생 여부를 판단한다. 오류 검출이 효과적이지만, 코드 추적 대상이 광범위해져 요구되는 시간이 증가한다.
• 워크 스루(Work Thru): 작성된 시나리오에 따라 코드를 시뮬레이션하여 검출한다. 유일하게 기능 검사가 가능하지만, 투자되는 시간에 비해 비효율적이다.

3. 5. 정기적인 변경 기반 코드 검토 (Regular change-based code review)

4. 효과

코드 검토의 주요 목표는 품질 문제의 직접적인 발견이지만,^[3] 코드 검토는 일반적으로 다음과 같은 목표들을 달성하기 위해 수행된다:^[15][4]

• '''코드 품질 향상''' - 가독성, 통일성 및 이해도를 높여 내부 코드 품질 및 유지보수성 향상
• '''소프트웨어 결함 감지''' - 외부 측면, 특히 정확성과 관련된 품질을 개선하고 성능 문제, 보안 취약점 및 주입된 악성 코드와 같은 문제점 발견
• '''학습/지식 전달''' - 리뷰어와 작성자 모두에게 코드베이스 지식, 해결 방법 및 품질 기대치를 공유
• '''상호 책임감 증대''' - 집단적인 코드 소유권과 연대 의식 증대
• '''더 나은 솔루션 찾기''' - 현재 코드 범위를 넘어 새롭고 더 나은 솔루션과 아이디어에 대한 아이디어 창출
• '''QA 가이드라인, ISO/IEC 표준 준수''' - 코드 검토는 항공 교통 관제 소프트웨어 및 안전 필수 시스템과 같은 일부 상황에서 필수적임

• 리뷰에서 발견된 유사한 버그에 대해 리뷰 참가자 간의 공통 인식을 형성할 수 있다.
• 버그 은폐를 감소시킬 수 있다.
• 리뷰를 수행한다는 의식으로 인해, 타인에게 보여지는 코드를 작성하게 되어 가독성이 향상된다.
• 코딩 규약 등에 대한 각자의 인식 차이를 수정할 수 있다.

5. 코드 검토의 효율성 및 가이드라인

케이퍼스 존스(Capers Jones)는 12,000개 이상의 소프트웨어 개발 프로젝트를 분석하여, 형식적 검토는 60~65%의 잠재 결함 발견율을 보인 반면, 비형식적 검토는 50% 미만의 결함을 발견했다는 결과를 제시했다. 대부분의 테스트에서는 잠재 결함 발견율이 약 30%였다.^[10][11] 그러나 "동료 코드 검토의 최고의 비결(Best Kept Secrets of Peer Code Review)"이라는 책에 실린 코드 검토 사례 연구는 케이퍼스 존스의 연구와 상반된 결과를 보였는데, 경량 검토가 비용 및 자금 측면에서 더 효율적이면서도 형식적 검토만큼 많은 버그를 발견할 수 있다는 점을 발견했다.^[10][12]

연구에 따르면 코드 검토 의견의 최대 75%는 기능보다는 소프트웨어 진화 가능성과 유지보수성에 영향을 미치는 것으로 나타났다.^{[13][14][15][16]} 이는 코드 검토가 긴 제품 또는 시스템 수명 주기를 가진 소프트웨어 회사에게 훌륭한 도구임을 시사한다.^[17] 코드 검토에서 논의되는 문제의 15% 미만이 버그와 직접적으로 관련이 있다.^[18]

코드 검토의 효과는 검토 속도와 상관관계가 있는데, 최적의 코드 검토 속도는 시간당 200~400행이다.^{[19][20][21][22]} 임베디드 소프트웨어와 같은 안전 필수 소프트웨어의 경우, 시간당 수백 행 이상의 코드를 검토하는 것은 오류를 발견하기에는 너무 빠를 수 있다.^[19][23]

작성된 지 얼마 되지 않은 소스 코드나 충분한 테스트가 이루어지지 않은 코드는 잠재적으로 버그나 보안 허점 등의 문제점을 포함하는 경우가 많다. 또한 직접적인 결함은 없더라도 명명 규칙을 따르지 않거나 모듈 분할과 같은 구조 설계가 부적절하여 가독성이나 유지 보수성에 문제가 있는 경우도 있다. 최적화되지 않은 코드는 계산 자원을 낭비하여 성능 저하를 초래하기도 한다. 소프트웨어 품질을 높이기 위해서는 이러한 결함이나 문제점을 제거할 필요가 있으며, 이를 위한 방법 중 하나가 소스 코드 심사, 즉 '''코드 리뷰'''이다.^[26]

온라인 소프트웨어 저장소를 이용하면 여러 사람이 공동으로 코드 리뷰를 수행할 수 있다. 버전 관리 시스템 및 호스팅 서비스를 이용한 소프트웨어 개발에서는 코드 수정을 포함한 분기 대상 브랜치의 풀 리퀘스트(pull request)를 제출할 때 리뷰를 받고, 리뷰를 통과한 코드만 분기 원본 브랜치에 병합되도록 함으로써, 수정으로 인해 다른 결함이 혼입될 위험을 줄일 수 있다.

코드 리뷰를 자동화하는 소프트웨어를 사용하면 소프트웨어 개발자를 대신하여 전형적인 보안 허점을 찾는 작업을 수행한다. Flawfinder^[27]나 Rough Auditing Tool for Security (RATS)^[28] 등이 그러한 소프트웨어의 예시이다. GitHub와 연계하는 Sider와 같은 자동화 서비스도 있다.

코드 검토를 통해 다음과 같은 효과를 기대할 수 있다.

• 리뷰에서 발견된 유사한 버그에 대해 리뷰 참가자 간의 공통 인식을 형성할 수 있다.
• 버그 은폐를 감소시킬 수 있다.
• 리뷰를 수행한다는 의식으로 인해, 타인에게 보여지는 코드를 작성하게 되어 가독성이 향상된다.
• 코딩 규약 등에 대한 각자의 인식 차이를 수정할 수 있다.

6. 지원 도구

온라인 저장소 (익명의 CVS 등)를 이용하면 여러 사람이 공동으로 코드 검토를 수행할 수 있다. 버전 관리 시스템(VCS) 및 호스팅 서비스를 이용한 소프트웨어 개발에서는 코드 수정을 포함한 분기 대상 브랜치의 풀 리퀘스트(pull request)를 제출할 때 검토를 받고, 검토를 통과한 코드만 분기 원본 브랜치에 병합되도록 하여 수정으로 인해 다른 결함이 혼입될 위험을 줄일 수 있다.

6. 1. 정적 코드 분석 도구

• C/C++/JAVA : CODESCROLL^TM code inspector, QAC, QACPP, PMD, Jlint, FindBugs, JsLint

7. 비판

코드 리뷰보다 코딩 규칙 및 방법론 정비가 더 중요하다는 시각도 있다. 익스트림 프로그래밍(XP)에서는 페어 프로그래밍을 권장하며, 코딩 중 코드 리뷰를 동시에 수행한다. XP 지지자들은 리팩토링이나 코드 작성 전 테스트 작성을 통해 리뷰/재작업 없는 코드를 생성하여 소프트웨어 개발 속도가 빨라진다고 주장한다. DOD-STD-2167A^[29]에서는 코드 리뷰를 "노동력은 많고 이익은 적다"고 평가한다. Lausen과 Younessi는 라인 단위 코드 리뷰는 거의 가치가 없다고 결론짓는다. 프로그래머에게 라인 단위 코드 리뷰를 하게 하는 것은 다른 기법보다 생산성이 낮다.

코드 리뷰로 인해 담당 작업 지연이 발생할 수 있다는 비판도 있다.

리뷰의 정밀도와 세부 수준은 개인의 기술에도 의존한다. 또한, 리뷰의 지적 항목이나 내용을 조직 내에서 공유하지 못하면 같은 지적이 상대를 바꿔가며 반복될 우려가 있다. 사전에 리뷰의 목적과 도달점을 명확히 하고, 개발 멤버 간에 공유하는 것도 필요하다.^[30]

컴파일러의 경고 및 정적 코드 분석의 결과는 잠재적인 문제점을 지적하는 경우가 많다. 경고 수준을 높이고, 이를 무시하지 않고 코드를 올바르게 수정해나가면, 개인적이고 시간이 많이 소요되는 코드 리뷰에 의존하지 않고도 문제점의 일부는 해결될 수 있다.^[31]

참조

_[1] 서적 2016 IEEE International Conference on Software Quality, Reliability and Security (QRS) 2016
_[2] 서적 Automated Defect Prevention: Best Practices in Software Management http://www.wiley.com[...] Wiley-IEEE Computer Society Press
_[3] 서적 Product-Focused Software Process Improvement 2017
_[4] 서적 Proceedings of the 2016 24th ACM SIGSOFT International Symposium on Foundations of Software Engineering - FSE 2016 2016
_[5] 서적 IEEE Standard for Software Reviews and Audits https://ieeexplore.i[...] IEEE STD 1028-2008 2008-08
_[6] 간행물 Design and code inspections to reduce errors in program development 1976
_[7] 서적 Proceedings of the 2013 9th Joint Meeting on Foundations of Software Engineering 2013
_[8] 간행물 Code Reviewing in the Trenches: Challenges and Best Practices https://www.michaela[...] 2020-11-28
_[9] 서적 Proceedings of the 40th International Conference on Software Engineering: Software Engineering in Practice 2018
_[10] 웹사이트 Measuring Defect Potentials and Defect Removal Efficiency http://www.crosstalk[...] Crosstalk, The Journal of Defense Software Engineering 2010-10-05
_[11] 간행물 Embedded Software: Facts, Figures, and Future 2009-04
_[12] 서적 Best Kept Secrets of Peer Code Review (Modern Approach. Practical Advice.) https://archive.org/[...] Smart Bear Inc.
_[13] 서적 2015 IEEE/ACM 37th IEEE International Conference on Software Engineering https://www.michaela[...] 2020-11-28
_[14] 간행물 What Types of Defects Are Really Discovered in Code Reviews? http://lib.tkk.fi/Di[...] 2012-03-21
_[15] 웹사이트 Expectations, outcomes, and challenges of modern code review http://sback.it/publ[...] Proceedings of the 35th IEEE/ACM International Conference On Software Engineering (ICSE 2013) 2015-09-02
_[16] 웹사이트 Modern code reviews in open-source projects: which problems do they fix? http://sback.it/publ[...] Proceedings of the 11th Working Conference on Mining Software Repositories (MSR 2014) 2015-09-02
_[17] 웹사이트 Does the Modern Code Inspection Have Value? http://csalpha.ist.u[...] 2015-02-17
_[18] 웹사이트 Characteristics of Useful Code Reviews: An Empirical Study at Microsoft https://www.michaela[...] 2015 IEEE/ACM 12th Working Conference on Mining Software Repositories 2020-11-28
_[19] 간행물 The Impact of Design and Code Reviews on Software Quality: An Empirical Study Based on PSP Data 2009-04-17
_[20] 웹사이트 Code Review Metrics https://www.owasp.or[...] 2015-10-09
_[21] 웹사이트 Best Practices for Peer Code Review http://smartbear.com[...] Smart Bear Software 2015-10-09
_[22] 간행물 A Two-Person Inspection Method to Improve Programming Productivity http://dl.acm.org/ci[...] 2015-10-09
_[23] 웹사이트 A Guide to Code Inspections http://www.ganssle.c[...] The Ganssle Group 2010-10-05
_[24] 서적 2013 35th International Conference on Software Engineering (ICSE)
_[25] 웹사이트 Automated Defect Prevention for Embedded Software Quality http://alm.parasoft.[...] VDC Research 2012-04-10
_[26] 웹사이트 IPA ISEC　セキュア・プログラミング講座：C/C++言語編　第2章 脆弱性回避策とソフトウェア開発工程：ソースコードレビュー https://web.archive.[...] Internet Archive
_[27] 웹사이트 Flawfinder Home Page https://dwheeler.com[...]
_[28] 웹사이트 Rough Auditing Tool for Security http://www.securesof[...]
_[29] 웹사이트 DOD-STD-2167A http://www2.umassd.e[...]
_[30] 웹사이트 コードレビューを成功させるためにCTOが考えるべき7つのことー監修：高遠和也（株式会社LIG CTO） | FLEXY（フレキシー） https://flxy.jp/arti[...]
_[31] 웹사이트 アプリケーション開発で質の高いコードレビューを実現するためのポイントとは ? ~ 後編~ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS https://aws.amazon.c[...]
_[32] 서적 Automated Defect Prevention: Best Practices in Software Management http://www.wiley.com[...] Wiley-IEEE Computer Society Press