Upgrade to Pro — share decks privately, control downloads, hide ads and more …

静的解析ツールで生産性向上

Kengo TODA
February 24, 2021
Technology
1
650

 静的解析ツールで生産性向上

"生産性向上 Tips LT会" で発表したLTのスライドです。
https://rakus.connpass.com/event/202055/

## 参考資料

JJUG CCC 2018 Fall に参加しました!! ラクス エンジニアブログ
https://tech-blog.rakus.co.jp/entry/20181218/it-event/java/jjug

指摘の見える化 ラクス エンジニアブログ
https://speakerdeck.com/y7g/visualization-of-issues

SpotBugs マニュアルサイト
https://spotbugs.readthedocs.io/ja/latest/

Kengo TODA

February 24, 2021
Tweet

More Decks by Kengo TODA

See All by Kengo TODA
医療機関向けシステムの信頼性 / Reliability of systems for medical institutions
eller86
0
92
Server-side Kotlinを使うスタートアップでどんなDetektルールが育ったか / Detekt rules made in start-up working with Server-side Kotlin
eller86
0
390
Java開発者向けのKotlin Gradleビルドスクリプト入門 / Gradle Build Script in Kotlin 101
eller86
0
650
Goodbye JSR305, Hello JSpecify!
eller86
2
3.7k
Java8〜16におけるバイトコード生成の変化 / Changes of Bytecode Generation from Java 8 to 16
eller86
4
3.5k
Javaプログラミングの体験向上に関する活動 / DX enhancement around Java programming
eller86
0
3.4k
Building Java App in 2019
eller86
0
74
Project Reactor
eller86
1
110
SpotBugs3.1.xの現状と
内部実装が抱える問題
eller86
0
2.7k

Other Decks in Technology

See All in Technology
人生がときめく自宅ネットワークの魔法
tatematsu_san
1
290
Snyk の紹介 〜セキュリティの Shift Left を目指す〜
toshiaizawa
0
110
LINE Blockchain Developers APIではじめるWeb3
sbtechnight
PRO
0
380
学びが形になる!〜DeNAで6年間プロダクト開発に携わって学んだこと〜
dena_tech
PRO
0
330
作って理解するバックドア
ad5jp
0
210
Kubernetes + containerd で cgroup v2 に移行したら "failed to create fsnotify watcher" エラーが発生する原因と対策
superbrothers
0
370
Managing Test Data
eliasnogueira
0
110
開発チーム内でのQAの役割
iseki
0
100
100アカウントを見据えたAWSマルチアカウント運用 / AWS multi-account operation for 100 accounts
yayoi_dd
0
140
BIMIとメールセキュリティ
sbtechnight
PRO
0
410
S3からBigQueryへ閉域ネットワーク経由でデータ転送する方法
sbtechnight
PRO
0
370
アフリカの通信・教育問題をNTN×Edtechで解決!
sbtechnight
PRO
0
370

Featured

See All Featured
The Pragmatic Product Professional
lauravandoore
21
3.6k
Rebuilding a faster, lazier Slack
samanthasiow
69
7.6k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
31
20k
Facilitating Awesome Meetings
lara
34
4.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
44
14k
The Straight Up "How To Draw Better" Workshop
denniskardys
226
130k
10 Git Anti Patterns You Should be Aware of
lemiorhan
643
55k
Building an army of robots
kneath
300
41k
The Cult of Friendly URLs
andyhume
70
5.2k
StorybookのUI Testing Handbookを読んだ
zakiyama
8
3.4k

Transcript

  1. 静的解析ツールで生産性向上
    2021-Feb-24, Kengo TODA
    1

    View Slide

  2. 自己紹介
    https://github.com/kengotoda/
    Java, Groovy, TypeScriptなどで開発する趣味&本業プログラマ。最近はGroovyプラグ
    イン開発が楽しい。
    2

    View Slide

  3. Agenda
    1. 静的解析ツールとは
    2. 静的解析ツールによる3つの主な生産性向上
    3. まとめ
    4. 付録
    3

    View Slide

  4. 静的解析ツールとは
    ソースコードやコンパイル結果などに対して解析を行い、それを実行することなく課題を
    発見するためのツール。
    Java言語周りだけでもFindBugs, PMD, Checkstyle, Checker Framework, Google
    Errorproneなど多様なツールが存在。またSonarQube, LGTM.com, Codacyなどサービ
    スとして稼働するものも多い。
    4

    View Slide

  5. FindBugs? 終了したはずでは?
    “Java8からJava11への移行する際の注意点に関す
    るセッションでした。(中略)
    セッション内で印象に残ったのは、「 findbugsなどコ
    ミュニティが終了して Java11に対応できないものが
    ある」という点と(後略) ”
    JJUG CCC 2018 Fall に参加しました!!
    ラクス エンジニアブログ
    5

    View Slide

  6. 有志によるforkがあります
    SpotBugsという名前でGitHubにて開発中。
    Your contribution is welcome!
    6

    View Slide

  7. 静的解析ツールによる3つの主な生産性向上
    1. 言語やフレームワークの学習効率の改善
    2. 早い段階で不具合を見つけて手戻り削減
    3. コードレビューで人が議論すべき論点に注力してチームワーク強化
    7

    View Slide

  8. 各ツールのデフォルト設定ルールには、言語や著名なフレームワークやライブラリの
    バッドプラクティスを見つけるものもある。Field InjectionよりConstructor Injectionのほ
    うが良いよ〜みたいなことを教えてくれる。IDEの標準機能としても知られているかも。
    Static Application Security Testing (SAST)ツールでは脆弱性を見つけられることがあ
    る。Find Security Bugs (SpotBugsプラグイン)などを実行すれば、単発的な脆弱性予防
    だけでなく長期的な開発者教育にも役立てることができる。決して完全ではないので、他
    のテストと組み合わせることが必要。
    1.言語やフレームワーク学習支援
    8

    View Slide

  9. 2.早い段階で不具合を見つける
    Pull Request/Merge Requestで見つける:SonarQubeなどの各種SaaSやReviewdog,
    Dangerなどを使うと、クリーン環境での解析結果を確認・通知できるので各開発者の環
    境に左右されない確認ができる。
    コーディング中に見つける:Google Errorprone, SonarLint, 各種IDEプラグインなどを使
    うと、コーディング中あるいはコミット時に不具合を見つけることができる。ツールによっ
    ては自動で修正してくれることもある。
    やり過ぎて開発環境が重く遅くなるのは本末転倒なので、チームやプロダクトに合わせ
    てバランスを考えたい。
    9

    View Slide

  10. 3.チームワーク強化
    10
    ラクスさんのブログにある SonarQubeの事例がわ
    かりやすい。
    見える化によって「他者による指摘」を減らす、開
    発者が自発的に潜在的な問題を発見し修正するこ
    とが可能になる。
    結果として保守容易性やドメインに関する議論な
    ど、人が議論する価値の高いものに時間を使え
    る。

    View Slide

  11. まとめ
    静的解析ツールを導入すると生産性が爆上がり!
    チーム開発はもちろん、個人開発でも有用なので試してみてください。
    11
    Twitter: @Kengo_TODA
    GitHub: @KengoTODA

    View Slide

  12. より沼にハマるために
    静的解析ツールを「マサカリ自動投擲マシン」として使いたいなら、静的解析ルールの独
    自実装スキルがあるとやりやすい。
    ● SpotBugsプラグイン実装マニュアル
    ● Google Errorproneプラグイン実装マニュアル
    ● SonarQubeプラグイン実装マニュアル
    新しめの言語や独自フレームワークがある環境では特におすすめ。
    12

    View Slide