如何使用 sonarqube 改进工作流
twitter作为开发人员, 我不得不多次修复生产环境中的问题。有时,sonarqube 规则, 我在代码之前没有看到任何错误, 而在其他时间, 我花了很多时间试图理解别人写的代码-更糟的是, 我把代码放到生产中, 在几个月后发现了安全漏洞。
很可能你也面对过这种情况。因此, 有一个工具, 可以帮助您在早期阶段检测到它们, 岂不是很棒吗?sonarqube 使这成为可能。在这篇文章中, 您将了解它如何帮助您清理代码并防止将来出现问题。
sonarqube 入门sonarqube 是一个开放源码的管理平台, 致力于不断分析和测量技术, 从早的计划阶段到生产。通过将静态和动态分析工具结合在一起, sonarqube 连续监视七轴上的代码, 如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。
sonarqube 是一种用于主要编程语言的代码分析器, 如 c/c++、javasc ript、java、c#、php 或 python, 等等。通常, 应用程序同时使用多种编程语言, 例如: java、javasc ript 和 html 的组合。sonarqube 自动检测这些语言并调用相应的分析器。
sonarqube 现在是 bitnami 目录的一部分。您可以或推出它与我们准备使用的云图像只需几次---和开始使用它在您的所有项目。利用 bitnami 图像的特点: 安全、xin、优化、一致等。
玩 sonarqube在这个 github 的项目中, 您将找到一个用 javasc ript 编写的代码示例。目标: 向您展示如何将 sonarqube 合并到您的开发工作流中。存储库包含两个主文件夹 (源和测试), 这样, 您就可以知道测试所涵盖的代码的百分比。
这个项目还包括一个声纳工程. 属性文件, 其中有一些配置参数需要配置 sonarqube,sonarqube 规则, 如用户名, 密码, 语言等。
运行
$ 声纳-扫描仪在项目文件夹内, 这样就启动了第yi个扫描仪, 您可以在 web 界面中检查结果。
第yi次扫描
正如您在上面的截图中所看到的, 当前的代码有零 bug、零漏洞和六代码的气味。
我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的, 但是在日常的工作中, 这样的问题会在你没有意识到的情况下出现。
添加错误
再次运行扫描仪使用
$ 声纳-扫描仪如预期的那样, 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:
比较扫描
屏幕右侧将出现一个新节 (以黄色高亮显示)。sonarqube 处理两种状态: 当前状态 (以白色表示) 和xin更改。正如您在截图中所看到的, 上次扫描中引入的更改增加了一个 bug 和一个漏洞。sonarqube 评估每个部分的, 评分基于不同的参数, 一个是jia状态。在这种情况下, 引入 bug 导致 bug 部分从 a 传递到 c, 漏洞 部分从 a 到 b。
您可以设置 泄漏期间 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。
让我们详细地看看 覆盖率 一节: 38.1% 是测试覆盖率 (正如您在 github 存储库中看到的那样, 我对某些文件进行了测试, 但对于所有的文档都没有)。在黄色部分, 您可以看到新添加的行的覆盖率。以前, 为了添加错误, 我引入了一些新行, 但我没有为这些新行创建任何测试, 因此新的测试覆盖率为0%。此外, ---覆盖范围,sonarqube 规则, 我可以看到更多的信息的覆盖面, 例如: 覆盖的文件, 覆盖线的数量, 等等。
错误信息
通过这种快速而简单的分析 (您只需执行一个命令), 您将能够防止出现在生产环境中的错误, 使代码保持安全并遵守jia做法和标准。在下面的迭代中, 我将致力于实现零 bug、漏洞和代码气味的目标。我还可以在测试中得到100% 的代码。一旦我的代码处于这种状态, 就很容易看出所做的更改是否引入了某种错误或坏的做法。
如何挤压 sonarqube正如您在上一节中看到的, 保持代码的---状态非常简单。但是, 还有更多的发现。sonarqube 有很多很酷的集成。
分析方法可以在下列分析方法之间进行选择:
用于 msbuild 的 sonarqube 扫描仪:. net 项目的启动分析sonarqube 扫描器: maven 的启动分析和xiao配置sonarqube 扫描器 gradle: 发射 gradle 分析蚂蚁 sonarqube 扫描器: 蚂蚁发射分析詹金斯 sonarqube 扫描仪: 詹金斯发射分析sonarqube 扫描仪: 当其他分析器都不合适时, 从命令行启动分析插件另外, sonarqube 有一个更新中心与各种各样的插件组织入不同的类别, 一些有用的插件是:
代码分析器
sonarcfamily c/c++sonarphpsonarjssonarwebsonarjavacss集成
github 插件: 分析拉请求, 并---问题作为---。谷歌分析: 将 google 分析------添加到 sonarqube 的 web 应用程序中。单片机引擎
善变的: 增加对善变的支持。git: 添加对 git 的支持。svn: 添加对 subversion 的支持。身份验证和授权
github 身份验证: 通过 github 启用用户身份验证和单一登录。gitlab 身份验证: 通过 gitlab 启用用户身份验证和单一登录。谷歌: 启用用户身份验证授权到谷歌。读过这篇文章后, 你可能想尝试 sonarqube, 看看它是如何融入你的日常工作的。您可以直接从 bitnami 目录或启动它。
快乐 (和安全) 编码!
将sonarqube指标集成到tfs构建中 - 简介
所需步骤概述
这里有很多步骤,有很多---,所以我将分解这几个博客文章主要是:
使tfs输出所需的测试和覆盖结果文件。
设置您的项目使用声纳。
将“sonar runner”整合到您的构建中。
所展示的解决方案---满足我正在尝试实现的目的,但您可能希望重新排列几个步骤来适应您的场景。 将围绕这些步骤进行一些讨论,以帮助您了解我所做的任何决定,并提供一些背景,但如果您感兴趣的是如何做到这一点,然后忽略此文本,只需按照步骤。
祝你好运与你的整合。
部分 - 使tfs输出所需的测试和覆盖结果文件。
第2部分 - 设置您的项目使用声纳。
第3部分 - 将“sonar runner”整合到您的构建中。
sonarsource简介
---性问题
这通常被称为潜在的 bug 或代码, 在运行时将不具有预期的行为。此类问题将所有与操作风险或运行时意外行为有关的内容分组。它通常采用可能导致业务中断的关键编程错误的形式。其中的一些问题将存在于简单的不符合jia做法的情况, 但大多数将通过对代码的深入分析和代码的符号执行来检测, 以了解程序中任何给的变量的状态。安全问题
这通常被称为程序中的漏洞或缺陷, 可能导致应用程序的使用方式与设计不同。这类问题将所有与程序有缺陷的事情进行分组, 这些漏洞可以被利用来使它的行为与它的设计不同。安全漏洞 (如 sql 注入或跨站点---) 可能是由于编码和体系结构实践不佳造成的。这些问题在 cwe 和---所维护的列表中有---的记录
sonarqube 规则-苏州华克斯信息由苏州华克斯信息科技有限公司提供。sonarqube 规则-苏州华克斯信息是苏州华克斯信息科技有限公司今年新升级推出的,以上图片仅供参考,请您拨打本页面或图片上的联系电话,索取联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/282654878.html
关键词:
滇公网安备 53011202000392号