C++ 코드 리뷰 | '체크리스트' 20가지 [실무 필수]
![C++ 코드 리뷰 | '체크리스트' 20가지 [실무 필수]](/og/s/cpp-code-review-checklist.webp)
이 글의 핵심
C++ 코드 리뷰 - "체크리스트" 20가지 [실무 필수]. C++ 코드 리뷰의 메모리 안전 (5개), 성능 (5개), 가독성 (5개)를 실전 코드와 함께 설명합니다.
메모리 안전 (5개)
1. 메모리 누수 체크
bad 함수의 구현 예제입니다.
// ❌ 누수
void bad() {
int* ptr = new int[100];
// delete[] 없음!
}
// ✅ RAII
void good() {
vector<int> v(100); // 자동 해제
}2. 댕글링 포인터
good 함수의 구현 예제입니다.
// ❌ 위험
int* bad() {
int x = 10;
return &x; // 지역 변수 주소 반환!
}
// ✅ 안전
int good() {
int x = 10;
return x; // 값 반환
}3. double delete
C/C++ 예제 코드입니다.
// ❌ 크래시
int* ptr = new int(10);
delete ptr;
delete ptr; // double delete!
// ✅ nullptr 설정
int* ptr = new int(10);
delete ptr;
ptr = nullptr;
delete ptr; // 안전4. 배열 범위 초과
// ❌ 위험
int arr[10];
arr[10] = 5; // 범위 초과!
// ✅ 체크
if (index < 10) {
arr[index] = 5;
}
// ✅ vector 사용
vector<int> v(10);
v.at(10) = 5; // 예외 발생5. 스마트 포인터 사용
C/C++ 예제 코드입니다.
// ❌ raw 포인터
int* ptr = new int(10);
// ....복잡한 로직 ...
delete ptr; // 깜빡할 수 있음
// ✅ 스마트 포인터
auto ptr = make_unique<int>(10);
// 자동 해제일상 비유로 이해하기: 메모리를 아파트 건물로 생각해보세요. 스택은 엘리베이터 같아서 빠르지만 공간이 제한적입니다. 힙은 창고처럼 넓지만 물건을 찾는 데 시간이 걸립니다. 포인터는 “3층 302호”처럼 주소를 가리키는 메모지라고 보면 됩니다.
성능 (5개)
6. 불필요한 복사
process 함수의 구현 예제입니다.
// ❌ 복사
void process(vector<int> data) { // 복사!
// ...
}
// ✅ 참조
void process(const vector<int>& data) {
// ...
}7. reserve 사용
// ❌ 재할당 여러 번
vector<int> v;
for (int i = 0; i < 1000; i++) {
v.push_back(i);
}
// ✅ 미리 할당
vector<int> v;
v.reserve(1000);
for (int i = 0; i < 1000; i++) {
v.push_back(i);
}8. 적절한 자료구조
C/C++ 예제 코드입니다.
// ❌ 느림 (O(n) 검색)
vector<int> v;
find(v.begin(), v.end(), x);
// ✅ 빠름 (O(log n) 또는 O(1))
set<int> s;
s.find(x);
unordered_set<int> us;
us.find(x);9. 문자열 연결
// ❌ 느림
string result;
for (const auto& s : strings) {
result += s; // 매번 재할당
}
// ✅ 빠름
ostringstream oss;
for (const auto& s : strings) {
oss << s;
}
string result = oss.str();10. move 시맨틱스
C/C++ 예제 코드입니다.
// ❌ 복사
vector<int> v1 = getData();
vector<int> v2 = v1; // 복사
// ✅ move
vector<int> v1 = getData();
vector<int> v2 = move(v1); // move가독성 (5개)
11. 명확한 변수명
C/C++ 예제 코드입니다.
// ❌ 불명확
int d; // 뭘 의미?
int tmp;
// ✅ 명확
int daysUntilExpiry;
int userCount;12. 함수 길이
processData 함수의 구현 예제입니다.
// ❌ 너무 긴 함수 (100줄+)
void processData() {
// ....100줄 ...
}
// ✅ 작은 함수로 분리
void validateData() { /* ....*/ }
void transformData() { /* ....*/ }
void saveData() { /* ....*/ }
void processData() {
validateData();
transformData();
saveData();
}13. 매직 넘버 제거
// ❌ 매직 넘버
if (status == 2) { // 2가 뭐지?
// ...
}
// ✅ 상수
const int STATUS_ACTIVE = 2;
if (status == STATUS_ACTIVE) {
// ...
}
// ✅ enum
enum class Status { Inactive, Pending, Active };
if (status == Status::Active) {
// ...
}14. 주석
C/C++ 예제 코드입니다.
// ❌ 불필요한 주석
int x = 10; // x에 10을 할당
// ❌ 오래된 주석
// TODO: 나중에 수정 (2020년)
// ✅ 의도 설명
// 타임아웃을 10초로 설정 (서버 응답 시간 고려)
int timeout = 10;15. const 정확성
// ❌ const 없음
void print(vector<int>& v) {
for (int x : v) {
cout << x << " ";
}
}
// ✅ const 추가
void print(const vector<int>& v) {
for (int x : v) {
cout << x << " ";
}
}안전성 (5개)
16. 예외 안전성
bad 함수의 구현 예제입니다.
// ❌ 예외 시 누수
void bad() {
int* ptr = new int[100];
riskyOperation(); // 예외 발생 가능
delete[] ptr; // 실행 안됨!
}
// ✅ RAII
void good() {
vector<int> v(100);
riskyOperation(); // 예외 발생해도 안전
}17. nullptr 체크
// ❌ 체크 없음
void process(int* ptr) {
*ptr = 10; // ptr이 nullptr이면?
}
// ✅ 체크
void process(int* ptr) {
if (!ptr) {
throw invalid_argument("ptr is null");
}
*ptr = 10;
}18. 정수 오버플로우
// ❌ 오버플로우 가능
int a = INT_MAX;
int b = a + 1; // 오버플로우!
// ✅ 체크
if (a > INT_MAX - 1) {
throw overflow_error("overflow");
}
int b = a + 1;19. 입력 검증
// ❌ 검증 없음
void setAge(int age) {
this->age = age; // 음수도 가능?
}
// ✅ 검증
void setAge(int age) {
if (age < 0 || age > 150) {
throw invalid_argument("invalid age");
}
this->age = age;
}20. 스레드 안전성
increment 함수의 구현 예제입니다.
// ❌ 경쟁 조건
int counter = 0;
void increment() {
counter++; // 스레드 안전하지 않음!
}
// ✅ mutex
mutex mtx;
int counter = 0;
void increment() {
lock_guard<mutex> lock(mtx);
counter++;
}코드 리뷰 프로세스
1. 자동 체크
# 컴파일 경고
g++ -Wall -Wextra -Werror
# 정적 분석
cppcheck --enable=all .
clang-tidy *.cpp
# 포맷 체크
clang-format -i *.cpp2. 수동 체크
터미널에서 다음 명령어를 실행합니다.
□ 코드가 요구사항을 만족하는가?
□ 테스트가 충분한가?
□ 에러 처리가 적절한가?
□ 성능 문제는 없는가?
□ 보안 취약점은 없는가?
□ 가독성이 좋은가?
□ 문서화가 되어 있는가?3. 피드백 작성
✅ 좋은 피드백:
"line 42: vector를 const 참조로 받으면 복사를 피할 수 있습니다."
❌ 나쁜 피드백:
"이 코드는 엉망입니다."실전 예시
예시 1: 리뷰 전 코드
void process(vector<int> data) {
int* arr = new int[data.size()];
for (int i = 0; i <= data.size(); i++) {
arr[i] = data[i] * 2;
}
// ....처리 ...
delete arr; // delete[] 아님!
}문제점:
- 불필요한 복사 (vector)
- raw 포인터 사용
- 범위 초과 (i <= size)
- delete vs delete[]
예시 2: 리뷰 후 코드
void process(const vector<int>& data) {
vector<int> result;
result.reserve(data.size());
for (int value : data) {
result.push_back(value * 2);
}
// ....처리 ...
}개선 사항:
- const 참조로 복사 제거
- vector 사용 (RAII)
- 범위 기반 for
- reserve로 성능 개선
FAQ
Q1: 코드 리뷰는 얼마나 자주?
A: 모든 PR/커밋마다 리뷰하는 것이 이상적입니다.
Q2: 리뷰어는 몇 명?
A: 최소 1명, 중요한 코드는 2명 이상 권장합니다.
Q3: 리뷰 시간은?
A: 200-400줄당 1시간 정도가 적절합니다.
Q4: 자동화 도구는?
A:
- clang-tidy
- cppcheck
- SonarQube
- Coverity
Q5: 코드 리뷰 문화는?
A:
- 건설적인 피드백
- 코드를 공격하지 말고 개선 제안
- 배우는 기회로 활용
Q6: 리뷰 체크리스트를 만들려면?
A:
- 팀의 과거 버그 분석
- 자주 발생하는 실수 정리
- 코딩 스타일 가이드 포함
같이 보면 좋은 글 (내부 링크)
이 주제와 연결되는 다른 글입니다.
- C++ RAII 패턴 | “리소스 관리” 완벽 가이드
- C++ const 완벽 가이드 | “const 정확성” 실전 활용
- C++ 스마트 포인터 | unique_ptr/shared_ptr “메모리 안전” 가이드
관련 글
- C++ const 완벽 가이드 |
- C++ 정적 분석 도구 | Clang-Tidy·Cppcheck·SonarQube [#53-5]
- 배열과 리스트 | 코딩 테스트 필수 자료구조 완벽 정리
- C++ Adapter Pattern 완벽 가이드 | 인터페이스 변환과 호환성
- C++ ADL |
심화 부록: 구현·운영 관점
이 부록은 앞선 본문에서 다룬 주제(「C++ 코드 리뷰 | ‘체크리스트’ 20가지 [실무 필수]」)를 구현·런타임·운영 관점에서 다시 압축합니다. 도메인별 세부 구현은 글마다 다르지만, 입력 검증 → 핵심 연산 → 부작용(I/O·네트워크·동시성) → 관측의 흐름으로 장애를 나누면 원인 추적이 빨라집니다.
내부 동작과 핵심 메커니즘
flowchart TD A[입력·요청·이벤트] --> B[파싱·검증·디코딩] B --> C[핵심 연산·상태 전이] C --> D[부작용: I/O·네트워크·동시성] D --> E[결과·관측·저장]
sequenceDiagram participant C as 클라이언트/호출자 participant B as 경계(런타임·게이트웨이·프로세스) participant D as 의존성(API·DB·큐·파일) C->>B: 요청/이벤트 B->>D: 조회·쓰기·RPC D-->>B: 지연·부분 실패·재시도 가능 B-->>C: 응답 또는 오류(코드·상관 ID)
- 불변 조건(Invariant): 버퍼 경계, 프로토콜 상태, 트랜잭션 격리, FD 상한 등 단계별로 문장으로 적어 두면 디버깅 비용이 줄어듭니다.
- 결정성: 순수 층과 시간·네트워크·스케줄에 의존하는 층을 분리해야 테스트와 장애 분석이 쉬워집니다.
- 경계 비용: 직렬화, 인코딩, syscall 횟수, 락 경합, 할당·GC, 캐시 미스를 의심 목록에 둡니다.
- 백프레셔: 생산자가 소비자보다 빠를 때 버퍼·큐·스트림에서 속도를 줄이는 신호를 어디에 둘지 정의합니다.
프로덕션 운영 패턴
| 영역 | 운영 관점 질문 |
|---|---|
| 관측성 | 요청 단위 상관 ID, 에러율·지연 p95/p99, 의존성 타임아웃·재시도가 대시보드에 보이는가 |
| 안전성 | 입력 검증·권한·비밀·감사 로그가 코드 경로마다 일관적인가 |
| 신뢰성 | 재시도는 멱등 연산에만 적용되는가, 서킷 브레이커·백오프·DLQ가 있는가 |
| 성능 | 캐시·배치 크기·커넥션 풀·인덱스·백프레셔가 데이터 규모에 맞는가 |
| 배포 | 롤백 룬북, 카나리/블루그린, 마이그레이션·피처 플래그가 문서화되어 있는가 |
| 용량 | 피크 트래픽·디스크·FD·스레드 풀 상한을 주기적으로 검증하는가 |
스테이징은 데이터 양·네트워크 RTT·동시성을 프로덕션에 가깝게 맞출수록 재현율이 올라갑니다.
확장 예시: 엔드투엔드 미니 시나리오
앞선 본문 주제(「C++ 코드 리뷰 | ‘체크리스트’ 20가지 [실무 필수]」)를 배포·운영 흐름에 맞춰 옮긴 체크리스트입니다. 도메인에 맞게 단계 이름만 바꿔 적용할 수 있습니다.
- 입력 계약 고정: 스키마·버전·최대 페이로드·타임아웃·에러 코드를 경계에 둔다.
- 핵심 경로 계측: 요청 ID, 단계별 지연, 외부 호출 결과 코드를 로그·메트릭·트레이스에서 한 흐름으로 본다.
- 실패 주입: 의존성 타임아웃·5xx·부분 데이터·락 대기를 스테이징에서 재현한다.
- 호환·롤백: 설정/마이그레이션/클라이언트 버전을 되돌릴 수 있는지 확인한다.
- 부하 후 검증: 피크 대비 p95/p99, 에러율, 리소스 상한, 알림 임계값을 점검한다.
handle(request):
ctx = newCorrelationId()
validated = validateSchema(request)
authorize(validated, ctx)
result = domainCore(validated)
persistOrEmit(result, idempotentKey)
recordMetrics(ctx, latency, outcome)
return result문제 해결(Troubleshooting)
| 증상 | 가능 원인 | 조치 |
|---|---|---|
| 간헐적 실패 | 레이스, 타임아웃, 외부 의존성, DNS | 최소 재현 스크립트, 분산 트레이스·로그 상관관계, 재시도·서킷 설정 점검 |
| 성능 저하 | N+1, 동기 I/O, 락 경합, 과도한 직렬화, 캐시 미스 | 프로파일러·APM으로 핫스팟 확인 후 한 가지씩 제거 |
| 메모리 증가 | 캐시 무제한, 구독/리스너 누수, 대용량 버퍼, 커넥션 미반납 | 상한·TTL·힙/FD 스냅샷 비교 |
| 빌드·배포만 실패 | 환경 변수, 권한, 플랫폼 차이, lockfile | CI 로그와 로컬 diff, 런타임·이미지 버전 핀 |
| 설정 불일치 | 프로필·시크릿·기본값, 리전 | 스키마 검증된 설정 단일 소스와 배포 매트릭스 표준화 |
| 데이터 불일치 | 비멱등 재시도, 부분 쓰기, 캐시 무효화 누락 | 멱등 키·아웃박스·트랜잭션 경계 재검토 |
권장 순서: (1) 최소 재현 (2) 최근 변경 범위 축소 (3) 환경·의존성 차이 (4) 관측으로 가설 검증 (5) 수정 후 회귀·부하 테스트.
배포 전에는 git add → git commit → git push 후 npm run deploy 순서를 권장합니다.
이 글에서 다루는 키워드 (관련 검색어)
C++, 코드리뷰, 체크리스트, 코드품질, 실무 등으로 검색하시면 이 글이 도움이 됩니다.