sum_temp}*sum=sum_temp;}
+=data[count];
½6-2:函数的规模尽量在200行以内。说明:不包括注释和空格行。½½6-3:一个函数仅完成一件功能。6-4:为简单功能编写函数。说明:虽然为仅用一两行就可完成的功能去编函数好象没有必要,但用函数可使功能明确化,增加程序可读性,亦可方便维护、测试。示例:如下语句的功能不很明显。value=(a>b)?a:b;
改为如下就很清晰了。intmax(inta,intb){
return((a>b)?a:b);}
value=max(a,b);
或改为如下。
#defineMAX(a,b)(((a)>(b))?(a):(b))
仅供内部使用33
软件编程规范总则6函数、过程
value=MAX(a,b);
½6-5:不要设计多用途面面俱到的函数。说明:多功能集于一身的函数,很可能使函数的理解、测试、维护等变得困难。
½6-6:函数的功能应该是可以预测的,也就是只要输入数据相同就应产生同样的输出。说明:带有内部“存储器”的函数的功能可能是不可预测的,因为它的输出可能取决于内部存储器(如某标记)的状态。这样的函数既不易于理解又不利于测试和维护。在C/C++语言中,函数的static局部变量是函数的内部存储器,有可能使函数的功能不可预测,然而,当某函数的返回值为指针类型时,则必须是STATIC的局部变量的地址作为返回值,若为AUTO类,则返回为错针。
示例:如下函数,其返回值(即功能)是不可预测的。unsignedintinteger_sum(unsignedintbase){
unsignedintindex;
staticunsignedintsum=0;//注意,是static类型的。
//若改为auto类型,则函数即变为可预测。
for(index=1;index<=base;index++){
sum+=index;}
returnsum;}
½6-7:尽量不要编写依赖于其他函数内部实现的函数。说明:此条为函数性的基本要求。由于目前大部分高级语言都是结构化的,所以通过具体语言的语法要求与编译器功能,基本就可以防止这种情况发生。但在汇编语言中,由于其灵活性,很可能使函数出现这种情况。
示例:如下是在DOS下TASM的汇编程序例子。过程Print_Msg的实现依赖于Input_Msg的具体实现,这种程序是非结构化的,难以维护、修改。...
//程序代码
procPrint_Msg//过程(函数)Print_Msg
...
//程序代码
仅供内部使用34
软件编程规范总则6函数、过程
jmp...endp
LABEL//程序代码
procInput_Msg//过程(函数)Input_Msg
...LABEL:
...endp
//程序代码//程序代码
½6-8:避免设计多参数函数,不使用的参数从接口中去掉。说明:目的减少函数间接口的复杂度。
½6-9:非调度函数应减少或防止控制参数,尽量只使用数据参数。说明:本建议目的是防止函数间的控制耦合。调度函数是指根据输入的消息类型或控制命令,来启动相应的功能实体(即函数或过程),而本身并不完成具体功能。控制参数是指改变函数功能行为的参数,即函数要根据此参数来决定具体怎样工作。非调度函数的控制参数增加了函数间的控制耦合,很可能使函数间的耦合度增大,并使函数的功能不唯一。示例:如下函数构造不太合理。
intadd_sub(inta,intb,unsignedcharadd_sub_flg){
if(add_sub_flg==INTEGER_ADD){
return(a+b);}else{
return(a}}
b);
不如分为如下两个函数清晰。intadd(inta,intb){
return(a+b);
仅供内部使用35
软件编程规范总则6函数、过程
}
intsub(inta,intb){
return(a}
b);
½½6-10:检查函数所有参数输入的有效性。6-11:检查函数所有非参数输入的有效性,如数据文件、公共变量等。说明:函数的输入主要有两种:一种是参数输入;另一种是全局变量、数据文件的输入,即非参数输入。函数在使用输入之前,应进行必要的检查。
½½6-12:函数名应准确描述函数的功能。6-13:使用动宾词组为执行某操作的函数命名。如果是OOP方法,可以只有动词(名词是对象本身)。示例:参照如下方式命名函数。
voidprint_record(unsignedintrec_ind);int
input_record(void);
unsignedcharget_current_color(void);
建议6-14:避免使用无意义或含义不清的动词为函数命名。说明:避免用含义不清的动词如process、handle等为函数命名,因为这些动词并没有说明要具体做什么。
建议6-15:函数的返回值要清楚、明了,让使用者不容易忽视错误情况。说明:函数的每种出错返回值的意义要清晰、明了、准确,防止使用者误用、理解错误或忽视错误返回码。
½6-16:除非必要,最好不要把与函数返回值类型不同的变量,以编译系统默认的转换方式或强制的转换方式作为返回值返回。½6-17:让函数在调用点显得易懂、容易理解。仅供内部使用36
软件编程规范总则6函数、过程
½6-18:在调用函数填写参数时,应尽量减少没有必要的默认数据类型转换或强制数据类型转换。说明:因为数据类型转换或多或少存在危险。
½6-19:避免函数中不必要语句,防止程序中的垃圾代码。说明:程序中的垃圾代码不仅占用额外的空间,而且还常常影响程序的功能与性能,很可能给程序的测试、维护等造成不必要的麻烦。
½6-20:防止把没有关联的语句放到一个函数中。说明:防止函数或过程内出现随机内聚。随机内聚是指将没有关联或关联很弱的语句放到同一个函数或过程中。随机内聚给函数或过程的维护、测试及以后的升级等造成了不便,同时也使函数或过程的功能不明确。使用随机内聚函数,常常容易出现在一种应用场合需要改进此函数,而另一种应用场合又不允许这种改进,从而陷入困境。
在编程时,经常遇到在不同函数中使用相同的代码,许多开发人员都愿把这些代码提出来,并构成一个新函数。若这些代码关联较大并且是完成一个功能的,那么这种构造是合理的,否则这种构造将产生随机内聚的函数。示例:如下函数就是一种随机内聚。voidInit_Var(void){
Rect.length=0;
Rect.width=0;/*初始化矩形的长与宽*/Point.x=10;Point.y=10;}
/*初始化“点”的坐标*/
矩形的长、宽与点的坐标基本没有任何关系,故以上函数是随机内聚。应如下分为两个函数:voidInit_Rect(void){
Rect.length=0;
Rect.width=0;/*初始化矩形的长与宽*/}
仅供内部使用37
软件编程规范总则6函数、过程
voidInit_Point(void){
Point.x=10;Point.y=10;}
/*初始化“点”的坐标*/
½6-21:如果多段代码重复做同一件事情,那么在函数的划分上可能存在问题。说明:若此段代码各语句之间有实质性关联并且是完成同一件功能的,那么可考虑把此段代码构造成一个新的函数。
½6-22:功能不明确较小的函数,特别是仅有一个上级函数调用它时,应考虑把它合并到上级函数中,而不必单独存在。说明:模块中函数划分的过多,一般会使函数间的接口变得复杂。所以过小的函数,特别是扇入很低的或功能不明确的函数,不值得单独存在。
½6-23:设计高扇入、合理扇出(小于7)的函数。说明:扇出是指一个函数直接调用(控制)其它函数的数目,而扇入是指有多少上级函数调用它。
扇出过大,表明函数过分复杂,需要控制和协调过多的下级函数;而扇出过小,如总是1,表明函数的调用层次可能过多,这样不利程序阅读和函数结构的分析,并且程序运行时会对系统资源如堆栈空间等造成压力。函数较合理的扇出(调度函数除外)通常是3-5。扇出太大,一般是由于缺乏中间层次,可适当增加中间层次的函数。扇出太小,可把下级函数进一步分解多个函数,或合并到上级函数中。当然分解或合并函数时,不能改变要实现的功能,也不能违背函数间的性。
扇入越大,表明使用此函数的上级函数越多,这样的函数使用效率高,但不能违背函数间的性而单纯地追求高扇入。公共模块中的函数及底层函数应该有较高的扇入。较良好的软件结构通常是顶层函数的扇出较高,中层函数的扇出较少,而底层函数则扇入到公共模块中。
½6-24:减少函数本身或函数间的递归调用。说明:递归调用特别是函数间的递归调用(如A->B->C->A),影响程序的可理解性;递归调用一般都占用较多的系统资源(如栈空间);递归调用对程序的测试有一定影响。故除非为某些算法或功能的实现方便,应减少没必要的递归调用。
仅供内部使用38
软件编程规范总则6函数、过程
½6-25:仔细分析模块的功能及性能需求,并进一步细分,同时若有必要画出有关数据流图,据此来进行模块的函数划分与组织。说明:函数的划分与组织是模块的实现过程中很关键的步骤,如何划分出合理的函数结构,关系到模块的最终效率和可维护性、可测性等。根据模块的功能图或/及数据流图映射出函数结构是常用方法之一。
½6-26:改进模块中函数的结构,降低函数间的耦合度,并提高函数的性以及代码可读性、效率和可维护性。优化函数结构时,要遵守以下原则:(1)不能影响模块功能的实现。
(2)仔细考查模块或函数出错处理及模块的性能要求并进行完善。(3)通过分解或合并函数来改进软件结构。(4)考查函数的规模,过大的要进行分解。(5)降低函数间接口的复杂度。
(6)不同层次的函数调用要有较合理的扇入、扇出。(7)函数功能应可预测。
(8)提高函数内聚。(单一功能的函数内聚最高)
说明:对初步划分后的函数结构应进行改进、优化,使之更为合理。
½6-27:在多任务操作系统的环境下编程,要注意函数可重入性的构造。说明:可重入性是指函数可以被多个任务进程调用。在多任务操作系统中,函数是否具有可重入性是非常重要的,因为这是多个进程可以共用此函数的必要条件。另外,编译器是否提供可重入函数库,与它所服务的操作系统有关,只有操作系统是多任务时,编译器才有可能提供可重入函数库。如DOS下BC和MSC等就不具备可重入函数库,因为DOS是单用户单任务操作系统。
½6-28:避免使用BOOL参数。说明:原因有二,其一是BOOL参数值无意义,TURE/FALSE的含义是非常模糊的,在调用时很难知道该参数到底传达的是什么意思;其二是BOOL参数值不利于扩充。还有NULL也是一个无意义的单词。
½½6-29:对于提供了返回值的函数,在引用时最好使用其返回值。6-30:当一个过程(函数)中对较长变量(一般是结构的成员)有较多引用时,可以用一个意义相当的宏代替。仅供内部使用39
软件编程规范总则6函数、过程
说明:这样可以增加编程效率和程序的可读性。
示例:在某过程中较多引用TheReceiveBuffer[FirstSocket].byDataPtr,则可以通过以下宏定义来代替:
#definepSOCKDATATheReceiveBuffer[FirstScoket].byDataPtr
仅供内部使用40
软件编程规范总则7可测性
7可测性
¹
7-1:在同一项目组或产品组内,要有一套统一的为集成测试与系统联调准备的调测开关及相应打印函数,并且要有详细的说明。
说明:本规则是针对项目组或产品组的。¹
7-2:在同一项目组或产品组内,调测打印出的信息串的格式要有统一的形式。信息串中
至少要有所在模块名(或源文件名)及行号。
说明:统一的调测信息格式便于集成测试。¹
7-3:编程的同时要为单元测试选择恰当的测试点,并仔细构造测试代码、测试用例,同
时给出明确的注释说明。测试代码部分应作为(模块中的)一个子模块,以方便测试代码在模块中的安装与拆卸(通过调测开关)。
说明:为单元测试而准备。¹
7-4:在进行集成测试/系统联调之前,要构造好测试环境、测试项目及测试用例,同时仔
细分析并优化测试用例,以提高测试效率。
说明:好的测试用例应尽可能模拟出程序所遇到的边界值、各种复杂环境及一些极端情况等。¹
7-5:使用断言来发现软件问题,提高代码可测性。
说明:断言是对某种假设条件进行检查(可理解为若条件成立则无动作,否则应报告),它可以快速发现并定位软件问题,同时对系统错误进行自动报警。断言可以对在系统中隐藏很深,用其它手段极难发现的问题进行定位,从而缩短软件问题定位时间,提高系统的可测性。实际应用时,可根据具体情况灵活地设计断言。
示例:下面是C语言中的一个断言,用宏来设计的。(其中NULL为0L)#ifdef_EXAM_ASSERT_TEST_
//若使用断言测试
voidexam_assert(char*file_name,unsignedintline_no){
printf(\"\\n[EXAM]Assertfailed:%s,line%u\\n\
file_name,line_no);
仅供内部使用41
软件编程规范总则7可测性
abort();}#define
EXAM_ASSERT(condition)
if(condition)//若条件成立,则无动作
NULL;else
//否则报告
exam_assert(__FILE__,__LINE__)
#else//若不使用断言测试
NULL
#defineEXAM_ASSERT(condition)#endif¹¹
/*endofASSERT*/
7-6:用断言来检查程序正常运行时不应发生但在调测时有可能发生的非法情况。7-7:不能用断言来检查最终产品肯定会出现且必须处理的错误情况。
说明:断言是用来处理不应该发生的错误情况的,对于可能会发生的且必须处理的情况要写防错程序,而不是断言。如某模块收到其它模块或链路上的消息后,要对消息的合理性进行检查,此过程为正常的错误检查,不能用断言来实现。
¹7-8:对较复杂的断言加上明确的注释。
说明:为复杂的断言加注释,可澄清断言含义并减少不必要的误用。
¹7-9:用断言确认函数的参数。
示例:假设某函数参数中有一个指针,那么使用指针前可对它检查,如下。intexam_fun(unsignedchar*str){
EXAM_ASSERT(str!=NULL);...//otherprogramcode}
//用断言检查“假设指针不为空”这个条件
¹7-10:用断言保证没有定义的特性或功能不被使用。
示例:假设某通信模块在设计时,准备提供“无连接”和“连接”这两种业务。但当前
仅供内部使用42
软件编程规范总则7可测性
的版本中仅实现了“无连接”业务,且在此版本的正式发行版中,用户(上层模块)不应产生“连接”业务的请求,那么在测试时可用断言检查用户是否使用“连接”业务。如下。#defineEXAM_CONNECTIONLESS0//无连接业务#defineEXAM_CONNECTION
1//连接业务
intmsg_process(EXAM_MESSAGE*msg){
unsignedcharservice;/*messageserviceclass*/EXAM_ASSERT(msg!=NULL);
service=get_msg_service_class(msg);
EXAM_ASSERT(service!=EXAM_CONNECTION);//假设不使用连接业务...}¹
7-11:用断言对程序开发环境(OS/Compiler/Hardware)的假设进行检查。说明:程序运行时所需的软硬件环境及配置要求,不能用断言来检查,而必须由一段专门代码处理。用断言仅可对程序开发环境中的假设及所配置的某版本软硬件是否具有某种功能的假设进行检查。如某网卡是否在系统运行环境中配置了,应由程序中正式代码来检查;而此网卡是否具有某设想的功能,则可由断言来检查。
对编译器提供的功能及特性假设可用断言检查,原因是软件最终产品(即运行代码或机器码)与编译器已没有任何直接关系,即软件运行过程中(注意不是编译过程中)不会也不应该对编译器的功能提出任何需求。
示例:用断言检查编译器的int型数据占用的内存空间是否为2,如下。EXAM_ASSERT(sizeof(int)==2);¹
7-12:正式软件产品中应把断言及其它调测代码去掉(即把有关的调测开关关掉)。说明:加快软件运行速度。¹
7-13:在软件系统中设置与取消有关测试手段,不能对软件实现的功能等产生影响。说明:即有测试代码的软件和关掉测试代码的软件,在功能行为上应一致。
//otherprogramcode
仅供内部使用43
软件编程规范总则7可测性
¹7-14:用调测开关来切换软件的DEBUG版和正式版,而不要同时存在正式版本和DEBUG
版本的不同源文件,以减少维护的难度。¹
7-15:软件的DEBUG版本和发行版本应该统一维护,不允许分家,并且要时刻注意保证两
个版本在实现功能上的一致性。
½7-1:在编写代码之前,应预先设计好程序调试与测试的方法和手段,并设计好各种调测开关及相应测试代码如打印函数等。说明:程序的调试与测试是软件生存周期中很重要的一个阶段,如何对软件进行较全面、高率的测试并尽可能地找出软件中的错误就成为很关键的问题。因此在编写源代码之前,除了要有一套比较完善的测试计划外,还应设计出一系列代码测试手段,为单元测试、集成测试及系统联调提供方便。
½7-2:调测开关应分为不同级别和类型。说明:调测开关的设置及分类应从以下几方面考虑:针对模块或系统某部分代码的调测;针对模块或系统某功能的调测;出于某种其它目的,如对性能、容量等的测试。这样做便于软件功能的调测,并且便于模块的单元测试、系统联调等。
½7-3:编写防错程序,然后在处理错误之后可用断言宣布发生错误。示例:假如某模块收到通信链路上的消息,则应对消息的合法性进行检查,若消息类别不是通信协议中规定的,则应进行出错处理,之后可用断言报告,如下例。#ifdef_EXAM_ASSERT_TEST_//若使用断言测试
/*Notice:thisfunctiondoesnotcall'abort'toexitprogram*/voidassert_report(char*file_name,unsignedintline_no){
printf(\"\\n[EXAM]ErrorReport:%s,line%u\\n\
file_name,line_no);
}#define
ASSERT_REPORT(condition)
if(condition)//若条件成立,则无动作
NULL;else//否则报告
仅供内部使用44
软件编程规范总则7可测性
assert_report(__FILE__,__LINE__)
#else//若不使用断言测试
#defineASSERT_REPORT(condition)#endif/*endofASSERT*/
intmsg_handle(unsignedcharmsg_name,unsignedchar*msg){
switch(msg_name){
caseMSG_ONE:
...//消息MSG_ONE处理returnMSG_HANDLE_SUCCESS;
NULL
...//其它合法消息处理default:
...//消息出错处理ASSERT_REPORT(FALSE);returnMSG_HANDLE_ERROR;
}}
//“合法”消息不成立,报告
仅供内部使用45
软件编程规范总则8程序效率
8程序效率
¹
8-1:编程时要经常注意代码的效率。
说明:代码效率分为全局效率、局部效率、时间效率及空间效率。全局效率是站在整个系统的角度上的系统效率;局部效率是站在模块或函数角度上的效率;时间效率是程序处理输入任务所需的时间长短;空间效率是程序所需内存空间,如机器代码空间大小、数据空间大小、栈空间大小等。¹
8-2:在保证软件系统的正确性、稳定性、可读性及可测性的前提下,提高代码效率。说明:不能一味地追求代码效率,而对软件的正确性、稳定性、可读性及可测性造成影响。¹¹
8-3:局部效率应为全局效率服务,不能因为提高局部效率而对全局效率造成影响。8-4:通过对系统数据结构的划分与组织的改进,以及对程序算法的优化来提高空间效率。说明:这种方式是解决软件空间效率的根本办法。示例:如下记录学生学习成绩的结构不合理。typedefunsignedchar
BYTE;
typedefunsignedshortWORD;typedefstructSTUDENT_SCORE_STRU
BYTEname[8];BYTEage;BYTEsex;BYTEclass;BYTEsubject;floatscore;}STUDENT_SCORE;
因为每位学生都有多科学习成绩,故如上结构将占用较大空间。应如下改进(分为两个结构),总的存贮空间将变小,操作也变得更方便。typedefstructSTUDENT_STRU
仅供内部使用46
软件编程规范总则8程序效率
{
BYTEname[8];BYTEage;BYTEsex;BYTEclass;}STUDENT;
typedefstructSTUDENT_SCORE_STRU{
WORDstudent_index;BYTEsubject;floatscore;}STUDENT_SCORE;¹
8-5:循环体内工作量最小化。
说明:应仔细考虑循环体内的语句是否可以放在循环体之外,使循环体内工作量最小,从而提高程序的时间效率。示例:如下代码效率不高。
for(ind=0;indsum+=ind;back_sum=sum;/*backupsum*/}
语句“back_sum=sum;”完全可以放在for语句之后,如下。for(ind=0;indsum+=ind;}back_sum
=sum;/*backupsum*/
½½8-1:仔细分析有关算法,并进行优化。8-2:仔细考查、分析系统及模块处理输入(如事务、消息等)的方式,并加以改进。仅供内部使用47
软件编程规范总则8程序效率
½8-3:对模块中函数的划分及组织方式进行分析、优化,改进模块中函数的组织结构,提高程序效率。说明:软件系统的效率主要与算法、处理任务方式、系统功能及函数结构有很大关系,仅在代码上下功夫一般不能解决根本问题。
½½8-4:编程时,要随时留心代码效率;优化代码时,要考虑周全。8-5:不应花过多的时间拼命地提高调用不很频繁的函数代码效率。说明:对代码优化可提高效率,但若考虑不周很有可能引起严重后果。
½8-6:要仔细地构造或直接用汇编编写调用频繁或性能要求极高的函数。说明:只有对编译系统产生机器码的方式以及硬件系统较为熟悉时,才可使用汇编嵌入方式。嵌入汇编可提高时间及空间效率,但也存在一定风险。
½8-7:在保证程序质量的前提下,通过压缩代码量、去掉不必要代码以及减少不必要的局部和全局变量,来提高空间效率。说明:这种方式对提高空间效率可起到一定作用,但往往不能解决根本问题。
½8-8:在多重循环中,应将最忙的循环放在最内层。说明:减少CPU切入循环层的次数。示例:如下代码效率不高。
for(row=0;row<100;row++){
for(col=0;col<5;col++){
sum+=a[row][col];}}
可以改为如下方式,以提高效率。for(col=0;col<5;col++){
for(row=0;row<100;row++){
sum+=a[row][col];
仅供内部使用48
软件编程规范总则8程序效率
}}
½½8-9:尽量减少循环嵌套层次。8-10:避免循环体内含判断语句,应将循环语句置于判断语句的代码块之中。说明:目的是减少判断次数。循环体中的判断语句是否可以移到循环体外,要视程序的具体情况而言,一般情况,与循环变量无关的判断语句可以移到循环体外,而有关的则不可以。
示例:如下代码效率稍低。
for(ind=0;indif(data_type==RECT_AREA){area_sum+=rect_area[ind];}else{
rect_length_sum+=rect[ind].length;rect_width_sum+=rect[ind].width;}}
因为判断语句与循环变量无关,故可如下改进,以减少判断次数。if(data_type==RECT_AREA){
for(ind=0;indarea_sum+=rect_area[ind];}}else{for(ind=0;indrect_length_sum+=rect[ind].length;仅供内部使用49
软件编程规范总则8程序效率
rect_width_sum}}
+=rect[ind].width;
½8-11:尽量用乘法或其它方法代替除法,特别是浮点运算中的除法。说明:浮点运算除法要占用较多CPU资源。示例:如下表达式运算可能要占较多CPU资源。#definePAI3.1416
radius=circle_length/(2*PAI);
应如下把浮点除法改为浮点乘法。
#definePAI_RECIPROCAL(1/3.1416)//编译器编译时,将生成具体浮点数radius=circle_length*PAI_RECIPROCAL/2;
½8-12:不要一味追求紧凑的代码。说明:因为紧凑的代码并不代表高效的机器码。
仅供内部使用50
软件编程规范总则9质量保证
9质量保证
¹¹
9-1:在软件设计过程中构筑软件质量。9-2:代码质量保证优先原则
(1)正确性,指程序要实现设计要求的功能。(2)稳定性、安全性,指程序稳定、可靠、安全。(3)可测试性,指程序要具有良好的可测试性。
(4)规范/可读性,指程序书写风格、命名规则等要符合规范。(5)全局效率,指软件系统的整体效率。
(6)局部效率,指某个模块/子模块/函数的本身效率。(7)个人表达方式/个人方便性,指个人编程习惯。
¹
9-3:只引用属于自己的存贮空间。
说明:若模块封装的较好,那么一般不会发生非法引用他人的空间。¹
9-4:防止引用已经释放的内存空间。
说明:在实际编程过程中,稍不留心就会出现在一个模块中释放了某个内存块(如C语言指针),而另一模块在随后的某个时刻又使用了它。要防止这种情况发生。¹¹
9-5:过程/函数中分配的内存,在过程/函数退出之前要释放。
9-6:过程/函数中申请的(为打开文件而使用的)文件句柄,在过程/函数退出之前要关
闭。
说明:分配的内存不释放以及文件句柄不关闭,是较常见的错误,而且稍不注意就有可能发生。这类错误往往会引起很严重后果,且难以定位。
示例:下函数在退出之前,没有把分配的内存释放。typedefunsignedcharBYTE;
intexample_fun(BYTEgt_len,BYTE*gt_code){
BYTE*gt_buf;
仅供内部使用51
软件编程规范总则9质量保证
gt_buf=(BYTE*)malloc(MAX_GT_LENGTH);...
//programcode,includecheckgt_bufifornotNULL.
/*globaltitlelengtherror*/if(gt_len>MAX_GT_LENGTH){
returnGT_LENGTH_ERROR;//忘了释放gt_buf}...}
//otherprogramcode
应改为如下。
intexample_fun(BYTEgt_len,BYTE*gt_code){
BYTE*gt_buf;
gt_buf=(BYTE*)malloc(MAX_GT_LENGTH);...
//programcode,includecheckgt_bufifornotNULL.
/*globaltitlelengtherror*/if(gt_len>MAX_GT_LENGTH){
free(gt_buf}...}¹
9-7:防止内存操作越界。
说明:内存操作主要是指对数组、指针、内存地址等的操作。内存操作越界是软件系统主要错误之一,后果往往非常严重,所以当我们进行这些操作时一定要仔细小心。示例:假设某软件系统最多可由10个用户同时使用,用户号为1-10,那么如下程序存在问题。
//otherprogramcode
);//退出之前释放gt_buf
returnGT_LENGTH_ERROR;
仅供内部使用52
软件编程规范总则9质量保证
#defineMAX_USR_NUM10
unsignedcharusr_login_flg[MAX_USR_NUM]=\"\";voidset_usr_login_flg(unsignedcharusr_no){
if(!usr_login_flg[usr_no]){
usr_login_flg[usr_no]=TRUE;}}
当usr_no为10时,将使用usr_login_flg越界。可采用如下方式解决。voidset_usr_login_flg(unsignedcharusr_no){
if(!usr_login_flg[usr_no-1]){
usr_login_flg[usr_no-1]=TRUE;}}¹¹¹
9-8:认真处理程序所能遇到的各种出错情况。
9-9:系统运行之初,要初始化有关变量及运行环境,防止未经初始化的变量被引用。9-10:系统运行之初,要对加载到系统中的数据进行一致性检查。说明:使用不一致的数据,容易使系统进入混乱状态和不可知状态。¹
9-11:严禁随意更改其它模块或系统的有关设置和配置。
说明:编程时,不能随心所欲地更改不属于自己模块的有关设置如常量、数组的大小等。¹¹
9-12:不能随意改变与其它模块的接口。
9-13:充分了解系统的接口之后,再使用系统提供的功能。
示例:在B型机的各模块与操作系统的接口函数中,有一个要由各模块负责编写的初始化过程,此过程在软件系统加载完成后,由操作系统发送的初始化消息来调度。因此就涉及到初始化消息的类型与消息发送的顺序问题,特别是消息顺序,若没搞清楚就开始编程,
仅供内部使用53
软件编程规范总则9质量保证
很容易引起严重后果。以下示例引自B型曾出现过的实际代码,其中使用了FID_FETCH_DATA与FID_INITIAL初始化消息类型,注意B型机的系统是在FID_FETCH_DATA之前发送FID_INITIAL的。MIDalarm_module_list[MAX_ALARM_MID];
intFARSYS_ALARM_proc(FIDfunction_id,inthandle){
_UIi,j;
switch(function_id){
...//programcodecaseFID_INITAIL:
for(i=0;iif(alarm_module_list[i]==BAM_MODULE//**)||(alarm_module_list[i]==LOCAL_MODULE){
for(j=0;jFAR_MALLOC(...);}}}...//programcodebreak;
caseFID_FETCH_DATA:
...//programcode
仅供内部使用
软件编程规范总则9质量保证
Get_Alarm_Module();break;
...//programcode}}
//初始化alarm_module_list
由于FID_INITIAL是在FID_FETCH_DATA之前执行的,而初始化
alarm_module_list是在FID_FETCH_DATA中进行的,故在FID_INITIAL中(**)处引用alarm_module_list变量时,它还没有被初始化。这是个严重错误。应如下改正:要么把Get_Alarm_Module函数放在FID_INITIAL中(**)之前;要么就必须考虑(**)处的判断语句是否可以用(不使用alarm_module_list变量的)其它方式替代,或者是否可以取消此判断语句。¹
9-14:编程时,要防止差1错误。
说明:此类错误一般是由于把“<=”误写成“<”或“>=”误写成“>”等造成的,由此引起的后果,很多情况下是很严重的,所以编程时,一定要在这些地方小心。当编完程序后,应对这些操作符进行彻底检查。¹
以9-15:要时刻注意易混淆的操作符。当编完程序后,应从头至尾检查一遍这些操作符,
防止拼写错误。
说明:形式相近的操作符最容易引起误用,如C/C++中的“=”与“==”、“|”与“||”、“&”与“&&”等,若拼写错了,编译器不一定能够检查出来。示例:如把“&”写成“&&”,或反之。
ret_flg=(pmsg->ret_flg&RETURN_MASK);被写为:
ret_flg=(pmsg->ret_flg&&RETURN_MASK);
rpt_flg=(VALID_TASK_NO(taskno)&&DATA_NOT_ZERO(stat_data));被写为:
rpt_flg=(VALID_TASK_NO(taskno)&DATA_NOT_ZERO(stat_data));
仅供内部使用55
软件编程规范总则9质量保证
¹9-16:有可能的话,if语句尽量加上else分支,对没有else分支的语句要小心对待;
switch语句必须有default分支。¹
9-17:Unix下,多线程的中的子线程退出必需采用主动退出方式,即子线程应return
出口。¹
9-18:不要滥用goto语句。
说明:goto语句会破坏程序的结构性,所以除非确实需要,最好不使用goto语句。
½9-1:不使用与硬件或操作系统关系很大的语句,而使用建议的标准语句,以提高软件的可移植性和可重用性。½9-2:除非为了满足特殊需求,避免使用嵌入式汇编。说明:程序中嵌入式汇编,一般都对可移植性有较大的影响。
½9-3:精心地构造、划分子模块,并按“接口”部分及“内核”部分合理地组织子模块,以提高“内核”部分的可移植性和可重用性。说明:对不同产品中的某个功能相同的模块,若能做到其内核部分完全或基本一致,那么无论对产品的测试、维护,还是对以后产品的升级都会有很大帮助。
½½½9-4:精心构造算法,并对其性能、效率进行测试。9-5:对较关键的算法最好使用其它算法来确认。9-6:时刻注意表达式是否会上溢、下溢。示例:如下程序将造成变量下溢。unsignedcharsize;
while(size-->=0)//将出现下溢{
...//programcode}
当size等于0时,再减1不会小于0,而是0xFF,故程序是一个死循环。应如下修改。charsize;//从unsignedchar改为charwhile(size-->=0){
仅供内部使用56
软件编程规范总则9质量保证
...//programcode}
½9-7:使用变量时要注意其边界值的情况。示例:如C语言中字符型变量,有效值范围为-128到127。故以下表达式的计算存在一定风险。
charchr=127;intsum=200;
chr+=1;//127为chr的边界值,再加1将使chr上溢到-128,而不是128。sum+=chr;//故sum的结果不是328,而是72。
若chr与sum为同一种类型,或表达式按如下方式书写,可能会好些。sum=sum+chr+1;
½9-8:留心程序机器码大小(如指令空间大小、数据空间大小、堆栈空间大小等)是否超出系统有关。½9-9:为用户提供良好的接口界面,使用户能较充分地了解系统内部运行状态及有关系统出错情况。½½9-10:系统应具有一定的容错能力,对一些错误事件(如用户误操作等)能进行自动补救。9-11:对一些具有危险性的操作代码(如写硬盘、删数据等)要仔细考虑,防止对数据、硬件等的安全构成危害,以提高系统的安全性。½9-12:使用第三方提供的软件开发工具包或控件时,要注意以下几点:(1)充分了解应用接口、使用环境及使用时注意事项。(2)不能过分相信其正确性。
(3)除非必要,不要使用不熟悉的第三方工具包与控件。
说明:使用工具包与控件,可加快程序开发速度,节省时间,但使用之前一定对它有较充分的了解,同时第三方工具包与控件也有可能存在问题。
仅供内部使用57
软件编程规范总则9质量保证
½9-13:资源文件(多语言版本支持),如果资源是对语言敏感的,应让该资源与源代码文件脱离,具体方法有下面几种:使用单独的资源文件、DLL文件或其它单独的描述文件(如数据库格式)仅供内部使用58
软件编程规范总则10代码编辑、编译、审查
10代码编辑、编译、审查
¹¹¹
10-1:打开编译器的所有告警开关对程序进行编译。10-2:在产品软件(项目组)中,要统一编译开关选项。10-3:通过代码走读及审查方式对代码进行检查。
说明:代码走读主要是对程序的编程风格如注释、命名等以及编程时易出错的内容进行检查,可由开发人员自己或开发人员交叉的方式进行;代码审查主要是对程序实现的功能及程序的稳定性、安全性、可靠性等进行检查及评审,可通过自审、交叉审核或指定部门抽查等方式进行。¹
10-4:测试部测试产品之前,应对代码进行抽查及评审。
½10-1:编写代码时要注意随时保存,并定期备份,防止由于断电、硬盘损坏等原因造成代码丢失。½10-2:同产品软件(项目组)内,最好使用相同的编辑器,并使用相同的设置选项。说明:同一项目组最好采用相同的智能语言编辑器,如MuitiEditor,VisualEditor等,并设计、使用一套缩进宏及注释宏等,将缩进等问题交由编辑器处理。
½10-3:要小心地使用编辑器提供的块拷贝功能编程。说明:当某段代码与另一段代码的处理功能相似时,许多开发人员都用编辑器提供的块拷贝功能来完成这段代码的编写。由于程序功能相近,故所使用的变量、采用的表达式等在功能及命名上可能都很相近,所以使用块拷贝时要注意,除了修改相应的程序外,一定要把使用的每个变量仔细查看一遍,以改成正确的。不应指望编译器能查出所有这种错误,比如当使用的是全局变量时,就有可能使某种错误隐藏下来。
½10-4:合理地设计软件系统目录,方便开发人员使用。说明:方便、合理的软件系统目录,可提高工作效率。目录构造的原则是方便有关源程序的存储、查询、编译、链接等工作,同时目录中还应具有工作目录----所有的编译、链接等工作应在此目录中进行,工具目录----有关文件编辑器、文件查找等工具可存放在此目录中。
仅供内部使用59
软件编程规范总则10代码编辑、编译、审查
½10-5:某些语句经编译后产生告警,但如果你认为它是正确的,那么应通过某种手段去掉告警信息。说明:在BorlandC/C++中,可用“#pragma示例:
#pragmawarn-rvl//关闭告警intexamples_fun(void){
//程序,但无return语句。
}
#pragmawarn+rvl//打开告警
编译函数examples_fun时本应产生“函数应有返回值”告警,但由于关掉了此告警信息显示,所以编译时将不会产生此告警提示。
warn”来关掉或打开某些告警。
½½10-6:使用代码检查工具(如C语言用PC-Lint)对源程序检查。10-7:使用软件工具(如LogiSCOPE)进行代码审查。仅供内部使用60
软件编程规范总则11代码测试、维护
11代码测试、维护
¹¹¹¹¹¹
11-1:单元测试要求至少达到语句覆盖。
11-2:单元测试开始要跟踪每一条语句,并观察数据流及变量的变化。11-3:清理、整理或优化后的代码要经过审查及测试。11-4:代码版本升级要经过严格测试。11-5:使用工具软件对代码版本进行维护。
11-6:正式版本上软件的任何修改都应有详细的文档记录。
½½½11-1:发现错误立即修改,并且要记录下来。11-2:关键的代码在汇编级跟踪。11-3:仔细设计并分析测试用例,使测试用例覆盖尽可能多的情况,以提高测试用例的效率。½½½½½½½½11-4:尽可能模拟出程序的各种出错情况,对出错处理代码进行充分的测试。11-5:仔细测试代码处理数据、变量的边界情况。11-6:保留测试信息,以便分析、总结经验及进行更充分的测试。11-7:不应通过“试”来解决问题,应寻找问题的根本原因。11-8:对自动消失的错误进行分析,搞清楚错误是如何消失的。11-9:修改错误不仅要治表,更要治本。11-10:测试时应设法使很少发生的事件经常发生。11-11:明确模块或函数处理哪些事件,并使它们经常发生。仅供内部使用61
软件编程规范总则11代码测试、维护
½11-12:坚持在编码阶段就对代码进行彻底的单元测试,不要等以后的测试工作来发现问题。½11-13:去除代码运行的随机性(如去掉无用的数据、代码及尽可能防止并注意函数中的“内部寄存器”等),让函数运行的结果可预测,并使出现的错误可再现。仅供内部使用62
软件编程规范总则11代码测试、维护
12宏
¹
12-1:用宏定义表达式时,要使用完备的括号。示例:如下定义的宏都存在一定的风险。#defineRECTANGLE_AREA(a,b)a*b#defineRECTANGLE_AREA(a,b)(a*b)#defineRECTANGLE_AREA(a,b)(a)*(b)正确的定义应为:
#defineRECTANGLE_AREA(a,b)((a)*(b))¹
12-2:将宏所定义的多条表达式放在大括号中。
示例:下面的语句只有宏的第一条表达式被执行。为了说明问题,for语句的书写稍不符规范。
#defineINTI_RECT_VALUE(a,b)\\
a=0;\\b=0;
for(index=0;indexINTI_RECT_VALUE(rect.a,rect.b);正确的用法应为:
#defineINTI_RECT_VALUE(a,b)\\{\\
a=0;\\b=0;\\}
for(index=0;index仅供内部使用63
软件编程规范总则11代码测试、维护
INTI_RECT_VALUE(rect[index].a,rect[index].b);}¹
12-3:使用宏时,不允许参数发生变化。示例:如下用法可能导致错误。
#defineSQUARE(a)((a)*(a))
inta=5;intb;
b=SQUARE(a++);//结果:a=7,即执行了两次增1。
正确的用法是:b=SQUARE(a);
a++;//结果:a=6,即只执行了一次增1。_
仅供内部使用
