到目前为止,我们描述的代码审查方法大多要求阅读源代码,并从中搜索表示获取用户输入及使用潜在危险的API的模式。因此,为进行有效的代码审查,最好使用一款智能工具浏览代码;也就是说,该工具能够理解各种语言使用的代码结构,提供与特定API和表达式有关的上下文信息,并能够方便地进行导航。
在许多语言中,可以使用某种开发工作室,如Visual Studio、NetBeans或Eclipse。还有各种一般性的代码浏览工具,它们支持各种语言,并且可进行优化,以方便阅读代码。Source Insight是我们首选的工具,如图19-1所示。它支持源代码树浏览,拥有强大的搜索功能,使用一个预览框显示与任何选中的表达式有关的上下文信息,并且能够在代码之间快速导航。