前言:因公司需求使用sonarlint做漏洞排查,把我遇到的一批问题及修改方法整理并记录了一下,如有错误的地方可以留言指正。
为什么要质检
Sonar相信大家都不陌生了,很多公司都把Sonar当做代码质量检测的工具,通过Sonar来考察软件的质量,以及程序员的水平。我们在修改代码异味时,也逐渐提高了自己的编码水平。其实在平时写代码的时候,为了代码规范和减少 bug 的数量,使用 SonarLint 插件进行代码检查无疑是一个很好的方法。Sonar 是一个用于代码质量管理的开源平台,用来管理源代码的质量,通过插件的形式支持包括 Java、C++、C语言等多种编程语言的代码质量管理与检测。
质检扫描规则
按照严重程度来划分:
关键词 | 级别描述 | 颜色 |
---|---|---|
Block | 阻断 | 红色-感叹号 |
Critical | 严重 | 红色-向上箭头 |
Major | 主要 | 红色-向上尖括号 |
Minor | 次要 | 绿色-向下箭头 |
Info | 提示 | 蓝色-倒立感叹号 |
按照问题类别来划分:
下面简要介绍一下
漏洞严重级别
阻断
直接获取重要服务器(客户端)权限的漏洞。
严重
直接获取普通系统权限的漏洞。
重要
需要在一定条件限制下,能获取服务器权限、网站权限与核心数据库数据的操作。
次要
能够获取一些数据,但不属于核心数据的操作
安全性
安全性主要反应代码中可能存在的漏洞的数量
热点和漏洞
热点和漏洞之间的主要区别:在决定是否应用修复之前需要进行审查
安全热点
可以突出显示安全敏感的一段代码,但可能不会影响整体应用程序安全性。由开发人员审查代码以确定是否需要修复以保护代码。
漏洞
已发现需要立即修复的影响应用程序安全性的问题
至于怎么去处理代码质检问题,有时间总结出来会发到这篇文档下面,有兴趣了大家关注一下后续,因为我一点都不懂java,又没有时间所以更新起来会比较慢。
如果这篇文章对您有所帮助,或者有所启发的话,求一键三连:点赞、评论、收藏➕关注,您的支持是我坚持写作最大的动力