APP安全编码规范.docx

《APP安全编码规范.docx》由会员分享，可在线阅读，更多相关《APP安全编码规范.docx（35页珍藏版）》请在三一文库上搜索。

1、编码规范XX科技股份有限公司编制目录一、编程规约3（一）命名风格3（二）常量定义7（三）代码格式8（四）OOP规约11（五）集合处理17（六）并发处理21（七）控制语句27（八）注释规约31（九）其它33二、异常日志34（一）异常处理34（一）日志规约37三、单元测试38四、安全规约41五、MySQ1.数据库42（一）建表规约42（二）索引规约44（三）SQ1.语句46（四）ORM映射47六、工程结构48（一）应用分层48（二）二方库依赖50（三）服务器52七、设计规约52附1：专有名词解释56一、编程规约（一）命名风格1 .【强制】代码中的命名均不能以下划线或美元符号开始，也不能以下划线或美

2、元符号结束。反例：_name/name/Sname/name_/name$/name2 .【强制】代码中的命名严禁使用拼音与英文混合的方式，更不允许直接使用中文的方式。说明：正确的英文拼写和语法可以让阅读者易于理解，避免歧义。注意，纯拼音命名方式更要避免采用。正例：renminbi/a1.ibaba/taobao/youku/hangzhou等国际通用的名称，可视同英文。反例：DaZhePromotion打折/geIPingfenByNameO评分/int某变量=3【强制】类名使用UPPerCameICaSe风格，但以下情形例外：DO/BO/DTO/VO/0PO/UID等。了一例：JaVaSe

3、rVerIeSSPIatfOrm/UserDO/Xm1.Service/TcpUdpDea1./TaPromotion反例：Javaserver1.essp1.atforin/UserDo/XM1.Service/TCP1.1DPDea1./TAPromotion4 .【强制】方法名、参数名、成员变量、局部变量都统一使用IowerCaine1.Case风格，必须遵从驼峰形式。J例:Ioca1.Va1.ue/getHttpMessageO/inputUser1.d5 .【强制】常量命名全部大写，单词间用下划线隔开，力求语义表达完整清楚，不要嫌名字长。王例：MAX_STOCK_COUNT/CACH

4、E_EXP1.REDJnME反例：MXCOUNT/EXPIREDTIME6 .【强制】抽象类命名使用AbStraCt或Base开头；异常类命名使用Exception结尾；测试类命名以它要测试的类的名称开始，以Test结尾。7 .【强制】类型与中括号紧挨相连来表示数组。JE例:定义整形数组intarrayDerao;反例:在main参数中，使用StringargS来定义。8 .【强制】POJO类中布尔类型变量都不要加is前缀，否则部分框架解析会引起序列化错误。说明：在本文MySQ1.规约中的建表约定第一条，表达是与否的值采用is_xxx的命名方式，所以，需要在resu1.1.Map设置从is_x

5、xx到xxx的映射关系。反例：定义为基本数据类型Boo1.eanisDe1.eted的属性，它的方法也是isDe1.eted(),RPC框架在反向解析的时候，“误以为”对应的属性名称是de1.eted,导致属性获取不到，进而抛出异常。9 .【强制】包名统一使用小写，点分隔符之间有且仅有一个自然语义的英语单词。包名统一使用单数形式，但是类名如果有复数含义，类名可以使用复数形式。壬例:应用工具类包名为com.a1.ibaba.ai.uti1.类名为MessageUti1.s(此规则参考spring的框架结构)10 .【强制】避免在子父类的成员变量之间、或者不同代码块的局部变量之间采用完全相同的命名

6、使可读性降低。说明：子类、父类成员变量名相同，即使是pub1.ic类型的变量也是能够通过编译,而局部变量在同一方法内的不同代码块中同名也是合法的，但是要避免使用。对于非Setter/getter的参数名称也要避免与成员变量名称相同。反例：pub1.icc1.assConfusingNamepubicintage；/非Setter/getter的参数名称，不允许与本类成员变量同名pub1.icvoidgetDataStringa1.ibabaifconditionfina1.intmoney=531；/.for(inii=0；i10：i+)/在同一方法体中，不允许与其它代码块中的money命名

7、相同fina1.intmoney=615：/.c1.assSonextendsConfusingName/不允许与父类的成员变量名称相同pub!icintage：11 .【强制】杜绝完全不规范的缩写，避免望文不知义。反刃：AbStTaC1.C1.ass缩写命名成AbsC1.ass;ConditiOn缩写命名成condi,此类随意缩写严重降低了代码的可阅读性。12 .为了达到代码自解释的目标，任何自定义编程元素在命名时，使用尽量完整的单词组合来表达其意。H例：在JDK中，表达原子更新的类名为：AtomiCReferenCeFieIdUPdaterO反例:inta的随意命名方式。13 .1在常量与

8、变量的命名时，表示类型的名词放在词尾，以提升辨识度。正例：StartTime/WOrkQUeUe/name1.ist/TERMINATED_TIIREAD_COUNT反例：StartedAt/QueueOfWork/IistName/COUNTTERMINATEDTHREAD14 .1如果模块、接口、类、方法使用了设计模式，在命名时需体现出具体模式。说明：将设计模式体现在名字中，有利于阅读者快速理解架构设计理念J例：pub1.icc1.assOrderFactory;pub1.icc1.ass1.oginProxy;pub1.icc1.assResourceObserver:15 .接口类中的

9、方法和属性不要加任何修饰符号（PUbIiC也不要加），保持代码的简洁性，并加上有效的JaVadoC注释。尽量不要在接口里定义变量，如果一定要定义变量，肯定是与接口方法相关，并且是整个应用的基础常量。正例：接口方法签名Voidcommit()；接口基础常量StringCOMPANY=a1.ibabaw;反例：接口方法定义pub1.icabstractvoidf()；说明：JDK8中接口允许有默认实现，那么这个defau1.t方法，是对所有实现类都有价值的默认实现。16 .接口和实现类的命名有两套规则：1)【强制】对于Service和DAO类，基于SOA的理念，暴露出来的服务一定是接口，内部的实现

10、类用ImPI的后缀与接口区别。正例:CacheServiceImp实现CaCheSerViCe接口。2)】如果是形容能力的接口名称，取对应的形容词为接口名(通常是-ab1.e的形容词)。正例：AbStraCtTranSIatOr实现Trans1.atab1.e接口。17 .【参考】枚举类名带上Enum后缴,枚举成员名称需要全大写，单词间用下划线隔开。说明：枚举其实就是特殊的类，域成员均为常量，且构造方法被默认强制是私有。无例:枚举名字为ProcessStatusEnum的成员名称：SUCCESS/UNKN0WN_REAS0No18 .【参考】各层命名规约：ServiceZDAO层方法命名规约1

11、9 获取单个对象的方法用get做前缀。2)获取多个对象的方法用IiSt做前缀，复数形式结尾如：IiStobjeCis。3) 获取统计值的方法用CoUnt做前缀。4) 插入的方法用save/insert做前缀。5) 删除的方法用remove/de1.ete做前缀。6) 修改的方法用update做前级。B)领域模型命名规约1) 数据对象：xxxDO,XXX即为数据表名。2) 数据传输对象：XXXDT0,XXX为业务领域相关的名称。3) 展示对象：XXXVO,XXX一般为网页名称。4) POJO是D0/DT0/B0/V0的统称，禁止命名成xxxP0J0o(二)常量定义1 .【强制】不允许任何魔法值(

12、即未经预先定义的常量)直接出现在代码中。反例:Stringkey=Id#taobao_+trade1.d；cache,put(key,va1.ue)；/缓存get时，由于在代码复制时，漏掉下划线，导致缓存击穿而出现问题2 .【强制】在1.ong或者1.ong赋值时，数值后使用大写的1.,不能是小写的1,小写容易跟数字1混淆，造成误解。说明：1.onga=21；写的是数字的21,还是1.Ong型的203 .)不要使用一个常量类维护所有常量，要按常量功能进行归类，分开维护。说明：大而全的常量类，杂乱无章，使用查找功能才能定位到修改的常量，不利于理解和维护。正例：缓存相关常量放在类CaCheCOnS

13、tS下；系统配置相关常量放在类ConfigConsts下。4 .常量的受用层次有五层：跨应用共享常量、应用内共享常量、子工程内共享常量、包内共享常量、类内共享常量。1)跨应用共享常量：放置在二方库中，通常是c1.ient,jar中的constant目录下。2)应用内共享常量：放置在一方库中，通常是子模块中的constant目录下。反例：易懂变量也要统一定义成应用内共享常量，两位工程师在两个类中分别定义了“YES”的变量：类A中：pub1.icstaticfina1.StringYES=yes；类B中:pub1.icstaticfina1.StringYES=y；A.YES.equa1.s(B.

14、YES),预期是true,但实际返回为fa1.se,导致线上问题。3) 子工程内部共享常量：即在当前子工程的constant目录下。4) 包内共享常量：即在当前包下单独的constant目录下。5) 类内共享常量：直接在类内部privatestaticfina1.定义。1 .1】如果变量值仅在一个固定范围内变化用enum类型来定义。说明：如果存在名称之外的延伸属性应使用e11um类型，下面正例中的数字就是延伸信息，表示一年中的第几个季节。正例:pub1.icenunSeasonEnumSPRIXG(I).S1.MMER12),A1.TUMN(3),WINTER1：privateintseq；S

15、tsisoii1.jiuinuntseq；this,seqseq：pub1.icintgetSeq()returnseq：（三）代码格式2 .【强制】如果是大括号内为空，则简洁地写成（即可，大括号中间无需换行和空格；如果是非空代码块则：1）左大括号前不换行。2）左大括号后换行。3）右大括号前换行。4） 右大括号后还有e1.se等代码则不换行；表示终止的右大括号后必须换行。2 .【强制】左小括号和字符之间不出现空格；同样，右小括号和字符之间也不出现空格；而左大括号前需要空格。详见第5条下方正例提示。反例：if（空格a=b空格）3 .【强制】ifforWhiIeswitch/d。等保留字与括号之间

16、都必须加空格。4 .【强制】任何二目、三目运算符的左右两边都需要加一个空格。说明：运算符包括赋值运算符=、逻辑运算符&、加减乘除符号等。5 .【强制】采用4个空格缩进，禁止使用tab字符。说明：如果使用tab缩进，必须设置1个tab为4个空格。IDEA设置tab为4个空格时，请勿勾选1.setabcharacter；而在ec1.ipse中，必须勾选insertspacesfortabs。正例：（涉及1-5点）pub1.icstaticvoidmain（Stringargs）/缩进4个空格Stringsay=he1.1.o；/运算符的左右必须有一个空格intf1.ag=0；/关键词if与括号之间

17、必须有一个空格，括号内的f与左括号，0与右括号不需要空格if(f1.ag=0)System.out.printIn(say)；/左大括号前加空格且不换行；左大括号后换行if(f1.ag三=1)System,out.printIn(wor1.d)；/右大括号前换行，右大括号后有e1.se,不用换行e1.seSystem,out.PrintIn(ok)；/在右大括号后直接结束，则必须换行)6 .【强制】注释的双斜线与注释内容之间有且仅有一个空格。正例：/这是示例注释,请注意在双斜线之后有一个空格StringparamnewStringO：7 .【强制】在进行类型强制转换时，右括号与强制转换值之间不

18、需要任何空格隔开。正例：1.ongfirst10000000000001.；intsecond(int：first2：8 .【强制】单行字符数限制不超过120个，超出需要换行，换行时遵循如下原则:1)第二行相对第一行缩进4个空格，从第三行开始，不再继续缩进，参考示例。2)运算符与下文一起换行。3)方法调用的点符号与下文一起换行。4)方法调用中的多个参数需要换行时，在逗号后进行。5)在括号前不要换行，见反例。正例：StringBuiIderSb=newStringBui1.derO；/超过120个字符的情况下，换行缩进4个空格，点号和方法名称一起换行sb.append(Jack),append(

19、Ma).appendCa1.ibaba*).append(a1.ibaba).append(a1.ibaba*)；反例：StringBuiIdersb=newStringBui1.derO;/超过!20个字符的情况下，不要在括号前换行sb.append(Jack),append(Ma).append(a1.ibaba)；/参数很多的方法调用可能超过120个字符，不要在逗号前换行method(args1,args2,args3argsX)；9 .【强制】方法参数在定义和传入时，多个参数逗号后边必须加空格。正例：下例中实参的args1.,后边必须要有一个空格。method(args1,args2,

20、args3)；10 .【强制】IDE的textfi1.eencoding设置为UTF-8；IDE中文件的换行符使用Unix格式，不要使用Windows格式。11 .单个方法的总行数不超过80行。说明：除注释之外的方法签名、左右大括号、方法内代码、空行、回车及任何不可见字符的总行数不超过80行。正例：代码逻辑分清红花和绿叶，个性和共性，绿叶逻辑单独出来成为额外方法，使主干代码更加清晰：共性逻辑抽取成为共性方法，便于复用和维护。12 .没有必要增加若干空格来使变量的就值等号与上一行对应位置的等号u对齐。正例：intone三1；1.ongtwo=21.;f1.oatthree=3F;StringBu

21、iIdersb=newStringBui1.derO;说明：增加sb这个变量，如果需要对齐，则给onestwo,three都要增加几个空格，在变量比较多的情况下，是非常累赘的事情。13 .，1不同逻辑、不同语义、不同业务的代码之间插入一个空行分隔开来以提升可读性。说明：任何情形，没有必要插入多个空行进行隔开。(四)OoP规约1 .【强制】避免通过一个类的对象引用访问此类的舒态变量或岸态方法，无谓增加编译器解析成本，直接用类名来访问即可。2 .【强制】所有的覆写方法，必须加Override注解。说明：getbject()与getbject()的问题。一个是字母的0,一个是数字的0,加SOverr

22、ide可以准确判断是否覆盖成功。另外，如果在抽象类中对方法签名进行修改，其实现类会马上编译报错。3 .【强制】相同参数类型，相同业务含义，才可以使用Java的可变参数，避免使用ObjeCtO说明：可变参数必须放置在参数列表的最后。(提倡同学们尽量不用可变参数编程)1例：pub1.ic1.istIistUsers(Stringtype.1.ong.ids)4 .【强制】外部正在调用或者二方库依赖的接口，不允许修改方法签名，避免对接口调用方产生影响。接口过时必须加DePreCated注解，并清晰地说明采用的新接口或者新服务是什么。5 .【强制】不能使用过时的类或方法。说明：.UR1.Decoder

23、中的方法decode(StringencodeStr)这个方法已经过时，应该使用双参数decode(Stringsource,Stringencode)0接口提供方既然明确u是过时接口，那么有义务同时提供新的接口；作为调用方来说，有义务去考证过时方法的新实现是什么。6 .【强制】Object的equa1.s方法容易掘空指针异常，应使用常量或确定有值的对象来调用equa1.sO正例:test,equa1.s（object）:反例:object,equa1.sCtest/）；说明:推荐使用java.uti1.Objectstfequa1.s（JDK7引入的工具类）。7 .【强制】所有整型包装类对象

24、之间值的比较，全部使用equa1.s方法比较。说明：对于Integervar三?在T28至127范围内的赋值，Integer对象是在IntegerCache.cache产生，会复用巳有对象，这个区间内的Integer值可以直接使用=进行判断，但是这个区间之外的所有数据，都会在堆上产生，并不会受用已有对象，这是一个大坑，推荐使用equa1.s方法进行判断。8 .【强制】浮点数之间的等值判断，基本数据类型不能用=来比较，包装数据类型不能用equa1.s来判断。说明：浮点数采用“尾数+阶码”的编码方式，类似于科学计数法的“有效数字+指数”的表示方式。二进制无法精确表示大部分的十进制小数，具体原理参考

25、码出高效。反例：f1.oata-1.0f-0.9f；f1.oatb=0.9f-0.8f；ifab/预期进入此代码快，执行其它业务逻辑/但事实上a=b的结果为fa1.seF1.oatxF1.oat.va1.uef(ai；F1.oatyF1.oat,va1.uef：b)：ifx.equa1.s，)/f页期进入此代码快，执行其它业务逻辑/但事实上equa1.s的结果为fa1.se正例：(1)指定一个误差范围，两个浮点数的差值在此范围之内，则认为是相等的。f1.oata1.0f-0.9f：f1.oatb0.9f-0.8f：f1.oatdiff1.e-6f;ifMath,absabdiff)System

26、out.printintrue)；(2)使用BigDecima1.来定义值，再进行浮点数的运算操作。BigDecima1.anewBigDecima1.1.0：BigDecima1.bnewBigDecima1.,0.91；BigDewBigDecima1.0.8j：BigDecima1.xa.subtractb：1BigDecima1.yb.subtractc)；ifx.equa1.s(y)Systemout.prin1.1n01.0.1：转化为用户可以理解的内容。5 .【强制】有try块放到了事务代码中，CatCh异常后，如果需要回滚事务，一定要注意手动回滚事务。6 .【强制】fina1.

27、1.y块必须对资源对象、流对象进行关闭，有异常也要做try-catch说明：如果JDK7及以上，可以使用try-with-resources方式。【强制】不要在fina1.1.y块中使用return0说明：try块中的return语句执行成功后，并不马上返回，而是继续执行fina1.1.y块中的语句，如果此处存在return语句，则在此直接返回，无情丢弃掉try块中的返回点。反例：privateintX=0；pub1.icintCheckReturnO,；try/x等于1,此处不返回return+x；fina1.1.y（/返回的结果是2return+x；）8 .【强制】捕获异常与抛异常，必须是

28、完全匹配，或者捕获异常是抛异常的父类。说明：如果预期对方抛的是绣球，实际接到的是铅球，就会产生意外情况。9 .【强制】在调用RPC二方包、或动态生成类的相关方法时，捕捉异常必须使用Throwab1.e类来进行拦截。说明:通过反射机制来调用方法，如果找不到方法，抛出NosuchMethodExceptiono什么情况会抛出NoSuchMethodError呢？二方包在类冲突时，仲裁机制可能导致引入非预期的版本使类的方法签名不匹配，或者在字节码修改框架（比如：ASM）动态创建或修改类时，修改了相应的方法签名。这些情况，即使代码编译期是正确的，但在代码运行期时，会抛出NoSuchMethodErro

29、r010 .1方法的返回值可以为nu1.1.,不强制返回空集合，或者空对象等，必须添加注释充分说明什么情况下会返回nu1.1.值。说明：本手册明确防止NPE是调用者的责任。即使被调用方法返回空集合或者空对象，对调用者来说，也并非高枕无忧，必须考虑到远程调用失败、序列化失败、运行时异常等场景返回nu1.1.的情况。11 .1防止NPE,是程序员的基本修养，注意NPE产生的场景：1)返回类型为基本数据类型，return包装数据类型的对象时，自动拆箱有可能产生NPEo反例：pub1.icintfOreturnInteger对象,如果为nu1.1.,自动解箱抛NPEo2) 数据库的查询结果可能为nu1

30、1.o3)集合里的元素即使iSNotEmpty,取出的数据元素也可能为nu1.1.o4)远程调用返回对象时，一律要求进行空指针判断，防止NPE。5)对于Session中获取的数据，建议进行NPE检查，避免空指针。6)级联调用obj.get?O.getBO.getCO；一连串调用，易产生NPEo土例：便用JDK8的OPtiOnaI类来防止NPE问题。12 .【】定义时区分uncheckedZchecked异常，避免直接抛出newRunUmeExceptionO,更不允许抛出Exception或者ThrOWab1.e,应使用有业务含义的自定义异常。推荐业界已定义过的自定义异常，如:DAOExce

31、ption/ServiceException等。13 .【参考】对于公司外的http/api开放接口必须使用“错误码”：而应用内部推荐异常地出；跨应用间RPC调用优先考虑使用Resu1.t方式，封装isSuccess()方法、错误码”、“错误简短信息”。说明：关于RPC方法返回方式使用ReSUIt方式的理由：1)使用抛异常返回方式，调用方如果没有捕获到就会产生运行时错误。2)如果不加栈信息，只是new自定义异常，加入自己的理解的errormessage,对于调用端解决问题的帮助不会太多。如果加了栈信息，在频繁调用出错的情况下，数据序列化和传输的性能损耗也是问题。14 .【参考】避免出现重复的代

32、码(DontRepeatYourse1.f),即DRY原则。说明：随意复制和粘贴代码，必然会导致代码的重复，在以后需要修改时，需要修改所有的副本，容易遗漏。必要时抽取共性方法，或者抽象公共类，甚至是组件化I,正例：一个类中有多个pub1.ic方法，都需要进行数行相同的参数校脸操作，这个时候请抽取：privateboo1.eancheckParam(DTOdto).)(二)日志规约1 .【强制】应用中不可直接使用日志系统(1.og4、1.ogback)中的API,而应依赖使用日志框架S1.F4J中的API,使用门面模式的日志框架，有利于维护和各个类的日志处理方式统一。importorg.s1.f

33、z1.j.1.ogger；importorg.s1.f4j.1.oggerFactory:privatestaticfina1.1.ogger1.ogger1.oggerFactory.get1.ogger(Test,c1.ass)；2 .【强制】所有日志文件至少保存15天，因为有些异常具备以“周”为频次发生的特点。网络运行状态、安全相关信息、系统监测、管理后台操作、用户敏感操作需要留存相关的网络日志不少于6个月。3 .【强制】应用中的扩展日志(如打点、临时监控、访问日志等)命名方式：appNamcIogTypeIogName.Iog0IogType:日志类型，如stats/monitor/a

34、ccess等；IogName:日志描述。这种命名的好处：通过文件名就可知道日志文件属于什么应用，什么类型，什么目的，也有利于归类查找。说明：推荐对日志进行分类，如将错误日志和业务日志分开存放，便于开发人员查看，也便于通过日志对系统进行及时监控。王例：force-web应用中单独监控时区转换异常，如：force_web_tImeZoneConvert.1.og4 .【强制】在日志输出时，字符串变量之间的拼接使用占位符的方式。说明：因为String字符串的拼接会使用StringBui1.der的append。方式，有一定的性能损耗。使用占位符仅是替换动作，可以有效提升性能。正例：1.ogger,d

35、ebug(Processingtradewithid：andsymbo1.：”,id.symbo1.I：5 .【强制】对于trace/debug/info级别的日志输出，必须进行日志级别的开关判断。说明：虽然在debug(参数)的方法体内第一行代码isDisab1.ed(1.eve1.DEBUGNT)为真时(S1.f4j的常见实现1.og4j和1.ogback),就直接return,但是参数可能会进行字符串拼接运算。此外，如果debug(getName()这种参数内有getName()方法调用,无谓浪费方法调用的开销。正例：/如果判断为真，那么可以揄出IraCe和debug级别的日志if(1.

36、ogger,iSDebugEnab1.edO)1.ogger,debug(CurrentIDis：;andnameis：,id.getName()；6 .【强制】避免重复打印日志，浪费磁盘空间，务必在1.og4j.xm1.中设置additivity=fa1.se王例：7 .【强制】异常信息应该包括两类信息：案发现场信息和异常推栈信息。如果不处理，那么通过关键字throws往上拗出。壬例:IOgger.error(各类参数或者对象toString()+e.getMessageO,);8 .!谨慎地记录日志。生产环境禁止输出debug日志；有选择地输出info日志；如果使用warn来记录刚上线时的

37、业务行为信息，一定要注意日志输出量的问题,避免把服务器磁盘排爆，并记得及时删除这些观察日志。说明：大量地输出无效日志,不利于系统性能提升，也不利于快速定位错误点。记录日志时请思考：这些日志真的有人看吗？看到这条日志你能做什么？能不能给问题排查带来好处？9 .J可以使用warn日志级别来记录用户输入参数错误的情况，避免用户投诉时，无所适从。如非必要，请不要在此场景打出error级别，避免频繁报警。说明:注意日志输出的级别，error级别只记录系统逻辑出错、异管或者重要的错误信息。10 .】尽量用英文来描述日志错误信息，如果日志中的错误信息用英文描述不清楚的话使用中文描述即可，否则容易产生岐义。【

38、强制】国际化团队或海外部署的服务器由于字符集问题，使用全英文来注释和描述日志错误信息。三、单元测试1.【强制】好的单元测试必须遵守AIR原则。说明：单元测试在线上运行时，感觉像空气(A1.R)一样并不存在，但在测试质量的保障上，却是非常关键的。好的单元测试宏观上来说，具有自动化、独立性、可重复执行的特点。A：Automatic（自动化）1：Independent（独立性）R:Repeatab1.e（可重复）2 .【强制】单元测试应该是全自动执行的，并且非交互式的。测试用例通常是被定期执行的，执行过程必须完全自动化才有意义。输出结果需要人工检查的测试不是一个好的单元测试。单元测试中不准使用Sys

39、tem,out来进行人肉验证，必须使用assert来验证。3 .【强制】保持单元测试的独立性。为了保证单元测试稳定可靠且便于维护，单元测试用例之间决不能互相调用，也不能依赖执行的先后次序。反例：method2需要依赖methodi的执行，将执行结果作为method2的输入。4 .【强制】单元测试是可以重受执行的，不能受到外界环境的影响。说明：单元测试通常会被放到持续集成中，每次有代码CheCkin时单元测试都会被执行。如果单测对外部环境（网络、服务、中间件等）有依赖，容易导致持续集成机制的不可用。正例：为了不受外界环境影响，要求设计代码时就把SUT的依赖改成注入，在测试时用spring这样的D

40、I框架注入一个本地（内存）实现或者Mock实现。5 .【强制】对于单元测试，要保证测试粒度足够小，有助于精确定位问题。单测粒度至多是类级别，一般是方法级别。说明：只有测试粒度小才能在出错时尽快定位到出错位置。单测不负责检查跨类或者跨系统的交互逻辑，那是集成测试的领域。6 .【强制】核心业务、核心应用、核心模块的增量代码确保单元测试通过。说明：新增代码及时补充单元测试，如果新增代码影响了原有单元测试，请及时修正。7 .【强制】单元测试代码必须写在如下工程目录：src/test/java,不允许写在业务代码目录下。说明：源码编译时会跳过此目录，而单元测试框架默认是扫描此目录。8 .单元测试的基本目

41、标：语句覆盖率达到70%；核心模块的语句覆盖率和分支覆盖率都要达到100%说明：在工程规约的应用分层中提到的DAO层，Manager层，可重用度高的Service,都应该进行单元测试。9 .【编写单元测试代码遵守BCDE原则，以保证被测试模块的交付质量。 B：Border,边界值测试，包括循环边界、特殊取值、特殊时间点、数据顺序等。 C：Correct,正确的输入，并得到预期的结果。 D：Design,与设计文档相结合，来编写单元测试。 E：Error,强制错误信息输入（如：非法数据、异常流程、业务允许外等），并得到预期的结果。10 .1.；对于数据库相关的查询，更新，删除等操作，不能假设数据

42、库里的数据是存在的，或者直接操作数据库把数据插入进去，请使用程序插入或者导入数据的方式来准备数据。反例：删除某一行数据的单元测试，在数据库中，先直接手动增加一行作为删除目标，但是这一行新增数据并不符合业务插入规则，导致测试结果异常。11 .和数据库相关的单元测试，可以设定自动回滚机制，不给数据库造成脏数据。或者对单元测试产生的数据有明确的前后缀标识。王例：在企业智能事业部的内部单元测试中，使用ENTERPRiSE_INTE1.1.IGENCE_弧77侬匚的前缀来标识单元测试相关代码。12 .对于不可测的代码在适当的时机做必要的重构，使代码变得可测，避免为了达到测试要求而书写不规范测试代码。13

43、 .【在设计评审阶段，开发人员需要和测试人员一起确定单元测试范围，单元测试最好覆盖所有测试用例。14 .i1单元测试作为一种质量保障手段，在项目提测前完成单元测试，不建议项目发布后补充单元测试用例。15 .【参考】为了更方便地进行单元测试，业务代码应避免以下情况：,构造方法中做的事情过多。存在过多的全局变量和静态方法。存在过多的外部依赖。,存在过多的条件语句。说明：多层条件语句建议使用卫语句、策略模式、状态模式等方式重构。16.【参考】不要对单元测试存在如下误解： 那是测试同学干的事情。本文是开发手册，凡是本文内容都是与开发同学强相关的。 单元测试代码是多余的。系统的整体功能与各单元部件的测试

44、正常与否是强相关的。 单元测试代码不需要维护。一年半载后，那么单元测试几乎处于废弃状态。 单元测试与线上故障没有辩证关系。好的单元测试能够最大限度地规避线上故障。四、安全规约1 .【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。说明：防止没有做水平权限校脸就可随意访问、修改、删除别人的数据，比如查看他人的私信内容、修改他人的订单。2 .【强制】用户敏感数据禁止直接展示，必须对展示数据进行脱敏。说明：中国大陆个人手机号码显示为：137*0969,隐藏中间4位，防止隐私泄露。3 .【强制】用户输入的SQ1.参数严格使用参数绑定或者METADATA字段值限定，防止SQ1.注入，禁止字符串拼接SQ1.访问数据库。4 .【强制】用户请求传入的任何参数必须做有效性险证。说明：忽略参数校验可能导致：pagesize过大导致内存溢出恶意Orderby导致数据库慢查询任意重定向SQ1.注入,反序列化注入正则输入源串拒绝服务ReDoS说明：Java代码用正则来跄证客户端的输入，有些正则