![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
静态扫描
小生测试
从事软件测试以及测试开发相关工具
展开
-
SonarLint安装与简介
SonarLint 是SonarQube官方推出的可以在idea 静态扫描插件,可以同步sonarqube的规则,在开发编译的时候发现问题,可以有效减少在流水线扫描返工的次数。原创 2023-10-29 20:22:15 · 1298 阅读 · 0 评论 -
Sonarapi python库 python-sonarqube-api简介
背景每次我们需要使用sonar api接口时,都需要自己去查一下接口的参数,这就显得很低效,如果有现成的库,那就简省了我们好多的时间。无意中发现,python库中已经有人做成了包:python-sonarqube-api如果需要单独的Sonar api 使用指南,可以直接查看之前写的sonar api文档简介python-sonarqube-api库包含了集成了sonar多个版本的接口调用,包括社区/企业版本等,功能还是比较强大的,而且文档还算比较详细原地址:https://github.com原创 2021-07-31 21:13:01 · 2226 阅读 · 0 评论 -
PMD、FindBug、checkstyle、sonar这些代码检查工具的区别
Java 静态分析工具分析对象应用技术备注CheckstyleJava 源文件缺陷模式匹配过于严格,按照Sun的规范太严格了,需要自定义规则,插件自定义规则没有查找功能,查找规则麻烦,只能做检查,不能修改代码,可配合Jalopy使用修改代码PMDJava 源代码缺陷模式匹配比较严格。独立的程序是命令行形式操作插件可以配置规则,有独立显示问题的视图,也很方便。一般来说,需要自定义规则才通过检验FindBugs字节码缺陷模式匹配;数据流分析FindBugs大...原创 2021-05-06 11:38:41 · 1318 阅读 · 1 评论 -
sonar静态扫描maven项目为啥还要编译class文件
问题sonar不是只扫描静态代码吗,扫描maven项目为啥还要编译简答先说说静态扫描大概的定义静态代码分析是指无需运行被测代码,仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,找出代码隐藏的错误和缺陷,如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等(摘自网上)静态分析中有这个一个分析方法:数据流分析:数据流分析也是一种软件验证技术,这种技术通过收集代码中引用到的变量信息,从而分析变量在程序中的赋值、引用以及传递等情况。对数据流进行分析可以原创 2021-05-06 11:36:29 · 2338 阅读 · 0 评论 -
sonar web功能简介
sonar web功能介绍前言一、总项目概览:二、单项目总览三、问题查找与处理四、指标五、代码六、活动七、代码规则八、质量配置九、质量阈十、配置十一、帮助前言安装指南请查看另外一篇:链接一、总项目概览:点击展示有权限的项目bm-mallorder-parent项目的名称,maven项目一般以主pom下的artifactId 属性值为名扫描结论,"错误"表示这一次与上一次的扫描对比有新增bug。"正常情况"表示首次扫描或者与上一次扫描没有新增问题。"157k"代表扫描的代码行数代表扫描的语原创 2020-09-06 11:52:43 · 2004 阅读 · 0 评论 -
docker 安装sonarqube,maven,sonar-scanner
前言由于公司没有多余的虚拟机给测试使用,为了节省资源又可以方便管理,我们使用docker 安装sonarqube安装安装分为sonar-web端(包括数据库),sonarclient插件端(maven端,sonar-scanner端)整个扫描流程如下图:sonar-web:1.首先确保你的docker是否安装,没有的话请安装docker,docker安装自行搜搜。docker -v2.拉取镜像,默认都是从 DockerHub 拉取:拉取数据库镜像,新版不支持mysql数据库(从So原创 2020-08-29 17:42:01 · 2675 阅读 · 2 评论 -
Sonar 增量扫描(不支持)
问题:sonar 是否支持增量式(incremental )的扫描,每次扫描都是全量扫描有点慢答:在csdn找的答案五花八门,后在官方的论坛下找到了一些soanr技术人员的回答(时间是2020 2 12)。意思是说 现在的sonar只支持C++项目的增量式扫描,不支持java项目。附上链接:https://community.sonarsource.com/t/incremental-scan-support/19938所以还是得回到怎么将扫描时间降下来的问题。分析的哪一方面花费了很长时原创 2020-07-10 09:46:13 · 3195 阅读 · 1 评论 -
sonar添加(集成)阿里java代码p3c规则
集成p3c规则包将制作好的p3c规则jar包放在extensions/plugins下,重启制作方法可以参考网上,如果要现成的jar包,可以点击这个下载验证是否集成成功在代码规则下的资源库里查看到pmd java,然后点击可以看到右侧有p3c的规则。这个时候就代表已经集成阿里p3c成功了。这个包是19年中做的,规则数量是48,现在官网已经迭代到54条了。可以考虑自己做jar包。附上官方的开源链接:https://github.com/alibaba/p3c/tree/master/p3c-pmd原创 2020-06-12 16:01:49 · 2538 阅读 · 3 评论 -
sonarqube 接口api调用查询项目扫描结果
sonar接口信息可以在这里获取地址http://192.168.240.82:30006/web_api1.获取sonar的认证token使用postman 选择basic auth获取后,可以在heders看到Authorizationhttp://192.168.240.82:30006/api/authentication/login2.获取项目信息如果没有token,只...原创 2019-12-11 17:50:08 · 13390 阅读 · 7 评论