sonarqube代码分析
2.---yzing with maven
通过mvn sonar:sonar分析代码将结果提交到数据库中,sonarqube查询展示。
安装并配置 maven,sonarqube静态安全扫描工具,配置文件为 setting.xml,添加数据配置
注:
1.可以在项目pom.xml显式sonar插件的版本以及mysql的驱动版本
2.也可以显式的将sonar绑定到maven生命周期中,maven的site声明周期时,sonarqube静态安全扫描工具,则会自动调用sonar.sonar 命令
sonarqube问题修改总结
二、bug风险
1、声明应该使用java集合接口,而不是具体的实现类,如“linkedlist”说明:声明应该使用java集合接口,而不是具体的实现类,如“linkedlist”
原因:定义---的接口来隐藏实现细节。
错误示例:
解决建议:
2、实体工具类应当隐藏其构造器说明:实用工具类,静态成员的集合,其目的并非要实例化。应该没有公共构造函数。
错误示例:
3、字符创比较上应该防止空指针异常说明:字符创比较上应该考虑到空指针异常的情况,一个变量在与字符串比较时,应当把字符串放在左边。
错误示例:
sonarqube是什么
是一种静态代码分析的开源软件,主要功能如下:
sonarqube本体是底层是java编写的,对于java代码分析和maven,gradle结合相对容易
拥有大量的插件,sonarqube静态安全扫描工具,能够进行多种编程语言的静态代码分析
能够和ci/cd环境进行集成,能够持续进行代码检测。同时针对代码的检测同时,能够针对代码情况进行评分和反馈。现阶段支持的ci/cd有gitlab,github,jenkins等
现在有4种版本:community版本,developer版本,enterprise版本,data ws=版本.
华克斯-sonarqube静态安全扫描工具由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司在行业软件这一领域倾注了诸多的热忱和热情,华克斯一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场,衷心希望能与社会各界合作,共创成功,共创。相关业务欢迎垂询,联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/284418724.html
关键词:
滇公网安备 53011202000392号