sonar-java 自定义规则

最新推荐文章于 2024-05-11 20:47:42 发布
最新推荐文章于 2024-05-11 20:47:42 发布
阅读量1.4k 收藏 20
点赞数 6
分类专栏: Java 文章标签: java 代码规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenglllle/article/details/136155604
版权

前言

最近在搞代码质量方面的项目,主要是针对Java语言,其他语言实际上也可以执行检查,核心原理是一样的,都是静态代码扫描,如果需要进行动态代码运行验证则可以通过单元测试的方式。以其中一个示例,实现自定义Java sonar规则。

准备

需要安装sonarqube或者sonarlint插件,自行实现

github:GitHub - SonarSource/sonar-java: :coffee: SonarSource Static Analyzer for Java Code Quality and Security

这里对于sonar来说,还有sonarqube的兼容性问题,这个xml定义了兼容的sonarqube版本,这里是8.9,笔者在使用最新版7.30.1.34514就出现签名错误的问题,这个版本支持9.9

 

关键是如下2个jar,在7.30相近的版本会出问题:An exception occurred while running the Java custom rule - Writing rules - Sonar Community

Caused by: java.lang.SecurityException: class "org.eclipse.jdt.core.dom.ASTUtils"'s signer information does not match signer information of other classes in the same package at java.base/java.lang.ClassLoader.checkCerts(ClassLoader.java:1150) 

 

可通过自定义版本依赖规避

编写规则

规则分为3部分:

1. 规则扫描部分

2. 示例代码部分

3. 规则描述文件部分

示例代码主要用来测试,即使代码编译不过,也可以执行扫描,因为是源码扫描

可以直接使用单元测试来验证规则,因为依赖了

java-checks-testkit

查看示例代码

@Rule(key = "SpringControllerRequestMappingEntity")
public class SpringControllerRequestMappingEntityRule extends BaseTreeVisitor implements JavaFileScanner {

  private JavaFileScannerContext context;

  // 扫描自定义,一般不需要
  @Override
  public void scanFile(JavaFileScannerContext context) {
    this.context = context;
    scan(context.getTree());
  }

  /**
   * Overriding the visitor method to implement the logic of the rule.
   * @param tree AST of the visited method.
   */
  @Override
  public void visitMethod(MethodTree tree) {
    Symbol.MethodSymbol methodSymbol = tree.symbol();

    // 类注解扫描
    SymbolMetadata parentClassOwner = methodSymbol.owner().metadata();
    boolean isControllerContext = parentClassOwner.isAnnotatedWith("org.springframework.stereotype.Controller");

    // 方法注解扫描
    if (isControllerContext && methodSymbol.metadata().isAnnotatedWith("org.springframework.web.bind.annotation.RequestMapping")) {

      // 方法的参数识别
      for (VariableTree param : tree.parameters()) {
        TypeTree typeOfParam = param.type();
        if (typeOfParam.symbolType().symbol().metadata().isAnnotatedWith("javax.persistence.Entity")) {
          // 识别参数的注解,然后报告问题,用于生成扫描问题报告
          // 在示例代码就会触发规则,如果我们把示例代码注解注释,就会扫描通过
          context.reportIssue(this, typeOfParam, String.format("Don't use %s here because it's an @Entity", typeOfParam.symbolType().name()));
        }
      }

    }
    super.visitMethod(tree);
  }

}

如果需要写其他的规则,那么sonar原生的很多已经实现的规则可以参考,修改即可,逻辑就是获取代码特征,然后根据自己的业务具体要求,实现代码逻辑即可,有点Java编译为class的味道。 

测试

使用测试用例

如果我们去掉参数的注解,执行单元测试,因为这个时候就符合规则扫描要求了,sonar的单元测试是有规则触发的问题时才是正常过测试用例的

总结

实际上这个很简单,如果需要考虑,那么需要考虑扫描算法怎么写,性能是否OK,毕竟一般执行扫描都是在代码编译打包的过程,本地很少单独执行扫描。sonar的规则写好后不需要使用sonarqube也可以验证,如果需要把规则给sonarqube,那么需要执行Maven插件的打包,放在sonarqube的plugins里面,sonar插件执行的shade fat jar打包,不需要额外的文件配置

fenglllle
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sonar实现自定义Java扫描规则
Sweet77
01-27 1646
下载官方提供的模板:https://github.com/SonarSource/sonar-java.git 参考官方链接:https://github.com/SonarSource/sonar-java/blob/master/docs/CUSTOM_RULES_101.md 教程 关于pom.xml: 我们根据SonarQube的版本来选择对应的pom文件,我使用的SonarQube版本是8.9 LTS。 初始化工程之后我们根据教程来一步一步填充模板后,打包。 我在这一步遇到的问题是:打出的jar在
自定义SonarQube Java规则
程军高的专栏
11-06 2475
重写Sonar PMD插件定义我们自己的Java代码扫描规则
【详细教程】sonarQube的自定义规则开发
冰糖柠檬雪梨茶的博客
08-30 1万+
sonar自定义规则开发,实际上是对sonar的官方JAR包里面的方法进行重写,然后添加自己定义的规则sonar提供的XPath 或Java的方式的扩展,有的语言支持的XPath ,有的只能支持Java的,比如Java的语言只支持Java的方式的扩展。具体详见通过语言自定义规则的支持 一,下载官方的示例演示 下载地址:https://github.com/SonarSource/so...
代码质量检测(三)—— SonarLintSonarQube的本地使用
liaoguangxi的博客
06-30 5788
在弹窗窗口里,填写这个SonarLint的名称,选择的右边配置,输入sonarQube IP和端口号,完成后点击Next.设置认证方式,有Token和用户名密码两种方式,根据自己的情况选择对应方式进行配置。这里选择账号密码的形式,默认为admin/admin。开启自动分析,这里上面红框。
2024年网络安全最全SonarQube安全扫描_sonarqube 安全扫描,程序员面试防坑宝典
最新发布
2401_84297560的博客
05-11 570
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。【项目】-【配置】-【增加构建步骤】,并在Analysis properties中配置sonar参数,保存后点击构建,控制台可查看到sonar执行成功。
利用Sonar定制自定义JS扫描规则(三)——SSLR JavaScript Toolkit 使用说明
weixin_30344995的博客
09-14 361
在上一篇blog中讲了在sonar中如何新增自定义的JS规则,这里面比较难的地方是XPath语句的编写,而要编写正确的XPath语句,首先要拿到语法的AST,下面我们就来介绍如何使用SSLR JavaScript Toolkit 工具来得到源代码的语法树。 首先通过在这里下载SSLR JavaScript Toolkit 工具,下载下来是一个jar包,在cmd窗口使用java -jar ssl...
SonarQube插件开发自定义规则(2)常用api-扫描java文本内容
祈雨v的博客
10-03 4997
1、文本式读取被扫描java文件public class TXTestCheck extends BaseTreeVisitor implements JavaFileScanner { public void scanFile(JavaFileScannerContext context) { scan(context.getTree()); visitFi
SonarLint + SonarQube 静态代码扫描
zhr19970910的博客
09-03 1957
文章目录一、IDEA安装SonarLint插件1.安装SonarLint2.SonarLint静态扫描二、Linux环境下部署SonarQube1.部署条件2.下载SonarQube3.创建sonar用户并上传文件4.创建sonar数据库5.启动SonarQube6.创建项目,关联代码三、SonarQube插件安装1.中文插件安装2.PDF插件安装 一、IDEA安装SonarLint插件 1.安装SonarLint 由于我已经安装过了,我这里显示的是update; 如果IDEA里没有安装的话,显示的in
sonarQube的自定义规则开发【详细教程】
q1335882的专栏
07-02 1万+
官网Demo演示插件开发地址: https://docs.sonarqube.org/display/PLUG/Writing+Custom+Java+Rules+101 基于官网的我暂时不多说,基础框架按照官网的范例进行搭建即可 #开源地址: https://github.com/tigerge000/sonar-java-custom-rules.git sonar常用方法说明 范...
sonar自定义规则c语言,深入了解 sonar 自定义规则开发 (入门强烈推荐)
weixin_39681171的博客
05-23 1066
前言前一段时间(很久之前了????)弄了 sonarQube 以及如何开发自定义规则,在之前一直也没有去接触过。于是兴致勃勃的到网上一顿搜索的骚操作,本地的 sonarQube 就搭建好了,并且通过 sonar 自带的规则扫描自己的项目发现了一些问题。就在我准备更进一步去学习如何进行自定义规则开发的时候,碰坑了。。。在网上查了很多关于 sonar 自定义规则开发的资料,其内容都大同小异,介绍如何搭建 s...
sonar安装使用及java规则详解
12-18
sonar安装使用及java规则详解:1 SonarQube安装及部署,sonar-scanner安装扫描SonarLint插件动态检查,5 Sonar 代码检查规范
sonar-php-rules:使用SonarQube分析PHP的自定义规则
02-05
声纳PHP规则 Wikia的自定义SonarQube规则,用于分析PHP文件。 要求 JDK 8 入门 阅读有关构建和SonarQube官方文档。 每个新引入的规则都应该有一个带有测试注册和实际规则行为的固定装置的相应单元测试。
SonarQube上使用java自定义JavaScript检测规则
08-21
网上使用java开发sonarqube的检测规则的文档很少,本文档较为详细描述了JavaScript扩展的开发过程。
sonar-java-custom-rules.zip
05-26
在这个项目中,它可能是用来构建和部署自定义SonarJava规则的命令。 8. **src目录**: 这是源代码目录,通常包含自定义规则Java源文件。在这里,开发者可能已经实现了特定的代码检查逻辑。 9. **target目录**: ...
misak69-sonar-custom:Sonar java自定义规则开发
07-12
创建一个实现 RulesDefinition 的类 -> 它是一个 ServerExtension,其唯一目的是让您的自定义规则出现在 SonarQube 的 UI 中,如果您已经明确提供了定义(以编程方式、在 XML 文件中或通过注释)。 此扩展在服务器...
sonar-java插件源码
11-05
3. **配置与扩展**:源码允许用户根据项目需求自定义规则,这可以通过修改或添加新的Check类来实现。此外,还可以调整规则的参数,如阈值、忽略特定的代码模式等。 4. **集成测试**:为了确保新规则或修改后的规则...
sonar-java-plugin-5.12.1.17771.rar
02-23
SonarQube与代码安全检查插件解析》 SonarQube是一款强大的代码质量管理平台,它能够通过静态分析的...在使用过程中,开发团队可以自定义规则集,根据项目需求调整检查的严格程度,以实现最佳的代码质量管理效果。
misak69-sonar-custom-resource:Sonar Java 自定义规则分析的示例资源
07-12
"misak69-sonar-custom-resource:Sonar Java 自定义规则分析的示例资源" 是一个特定于JavaSonarQube自定义规则分析的实例项目。SonarQube是一款用于代码质量管理的开源平台,它能够进行源代码分析,检测潜在的缺陷...
SonarLint 默认扫描规则
热门推荐
全盛
09-08 2万+
请看原文:原文链接:https://blog.csdn.net/jiaomubai/article/details/116596868 在平时写代码的时候,为了代码规范和减少 bug 的数量,使用 SonarLint 插件进行代码检查无疑是一个很好的方法。Sonar 是一个用于代码质量管理的开源平台,用来管理源代码的质量,通过插件的形式支持包括 Java、C++、C语言等多种编程语言的代码质量管理与检测。 Sonar 从以下七个维度来进行代码质量的检测: 不遵循代码标准:Sonar 可以通过 PMD、
idea sonarlint自定义规则
09-15
要在IDEA中使用SonarLint自定义规则,可以按照以下步骤进行操作: 1. 打开IDEA,点击"File(文件)"菜单,选择"Setting(设置)"。 2. 在设置界面中,点击"SonarLint"选项。 3. 选择"Quality Profiles(质量配置)",然后点击"Create(创建)"按钮。 4. 在弹出的对话框中,可以选择创建新的质量配置或者复制现有的规则进行修改。如果选择复制现有规则,可以点击"Copy(复制)"按钮并选择要复制的规则。 5. 在创建或复制规则后,可以根据需要进行修改和自定义。可以添加、删除或修改规则,并调整规则的严重程度和条件。 6. 完成自定义规则后,点击"OK"按钮保存设置。 通过以上步骤,可以在IDEA中使用SonarLint自定义规则,以便根据项目的需求进行代码质量检查和规范

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值