【Java】 sonar | java | sonar生成扫描token | 扫描示例 | 常见问题处理

已于 2022-12-06 10:37:18 修改
阅读量2.5k 收藏 2
点赞数
分类专栏: Java 文章标签: java 开发语言
于 2022-11-29 11:26:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myloverisxin/article/details/128094573
版权

一、说明

        1、sonar已经安装OK

        2、springboot项目

        3、maven项目

二、生成token

1、登录到sonar

2、生成token

说明1: token仅生成一次,需保留

说明2: token忘记后,需要回收重新生成

3、执行命令

mvn sonar:sonar -Dsonar.projectKey=hg-demo-Dsonar.host.url=http://192.168.1.100:9000 -Dsonar.login=97de6a2ca95a7d75dff14ab718d7e4d6291af6c6 -Dsonar.java.binaries=target/classes

说明1: 修改对应的内容即可

说明2: 执行前,使用idea插件,先clean 再 compile,再执行上面的命令

三、BUG处理

1、Correctness - equals method overrides equals in superclass and may not be symmetric

由于@Data因其的BUG,@Data处理继承上需要独立声明 callSuper

解决:

子类上增加注解:

@EqualsAndHashCode(callSuper = true)

~~

2、Performance - Boxed value is unboxed and then immediately reboxed

解释:已装箱的值被解除装箱,然后立即重新装箱。 

解决:将-1L改为静态常量即可

3、A "NullPointerException" could be thrown; "commandStats" is nullable here.

解释:空指针风险

解决:处理前判空

4、Either re-interrupt this method or rethrow the "InterruptedException" that can be caught here.

解释: 线程休眠异常未打标识

解决:catch捕获给线程打标识

Thread.currentThread().interrupt();

5、Change this code to use a stronger protocol.

解释: 当使用不安全的协议(即:不同于“TLSv1.2”或“DTLSv1.2”的协议)创建SSLContext时,该规则会引发问题。

解决:

context = SSLContext.getInstance("TLSv1.2");
TLSv1.2

~~

四、异味处理

0、处理建议

        1)按类处理问题,异味分类大概几类,全局搜索替换会快一些

        2)解决一类,sonar扫描代码提交,较少sonar相同类别的异味提醒

       

1、Remove this unused import 'cn.hutool.core.collection.CollUtil'.

解释: 引入类但未使用

解决:

        1)鼠标聚焦的项目名称(点击选中项目),IDEA快捷键: Ctrl + Alt + O,全局扫描并处理引用未使用问题;

        2)若项目包含vue前端模块,建议不要选择项目,而需要对java模块逐个选中然后快捷键;Ctrl + Alt + O会对vue的代码进行格式化

2、Use static access with "cn.hutool.core.collection.CollUtil" for "newArrayList".

解释: 建议方法改为"cn.hutool.core.collection.CollUtil" for "newArrayList",自定义类会被定义为异味,因为有现成的jar依赖,无需重复造轮子

解决:

        1)全局替换类;全局替换可能会造成未import的问题,需要逐个类处理

        2)建议处理顺序:全局替换 -> IDEA的maven插件compile -> 逐个类处理无引用编译报错 -> 处理引用未使用

3、Make "params" transient or serializable.

解释: 类中实现了Serializable接口(即序列化),而类中有Map私有变量,Map不支持序列化(需遵循CC BY-SA 4.0 许可协议)

解决: 用transient修饰即可

transient

 ~~

hgSuper
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java代码集成sonar接口,实现sonar操作的demo
04-01
利用java代码,调用sonar接口,实现在sonar里面创建,更改,用户,组,权限等一系列操作
Java代码质量分析Sonar
赵广陆
06-18 4510
目录 1. sonar安装 1.1 简介 1.1.1 客户端 1.1.2 sonar 版本区分 1.1.2.1 社区版 1.1.2.2 开发者版 1.1.2.3 企业版 1.2 安装部署 1.2.1 修改文件句柄数 1.2.2 创建挂载目录 1.2.3 创建docker-compose.yml 1.2.4 启动 1.2.4.1 访问测试 1.2.5 安装插件 1.2.5.1 汉化插件 1.3 静态分析插件介绍 1.3.1 什么是静态代码分析 1.3.1.1 静态代码分析优势
看这里,全网最详细的Sonar代码扫描平台搭建教程
最新发布
apex_eixl的博客
05-31 1606
sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 ​
FindBugs提示EQ_OVERRIDING_EQUALS_NOT_SYMMETRIC缺陷如何解决
王小义笔记
07-26 1650
通过findbugs检测出的问题进行解决
SonarQube白盒静态代码专家解决方案
zhaohhtt的专栏
02-13 787
SonarQube Sonar Fortify Coverity LoadRunner 白盒静态源代码测试 应用安全测试工具
transient关键字及Serializable的序列化与反序列化
weixin_30781107的博客
01-17 421
java中的Serializable提供一种持久化机制,将实现了Serializable接口的对象序列化为字节序列,并在以后可以将此字节序列恢复为java对象。 序列化实现了数据的持久化,保存在硬盘中,并且在网络上进行字节序列的传送。 transient:在序列化时,若字段定义为transient,则会自动对该字段...
FindBugs常见错误介绍、分析、处理
此处省略三千字
12-27 9555
FindBugs简单了解 FindBugs-IDEA是个好东西,它是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定程序的意图,而是通常使用 Visitor 模式。 常见findBugs缺陷类型 (1)Bad pratice编程的坏习惯 。主要是命名...
SonarQube 创建 Token
秋叶清风的博客
07-07 2052
SonarQube 创建 Token
sonar-java-custom-rules.zip
05-26
在这个项目中,它可能是用来构建和部署自定义SonarJava规则的命令。 8. **src目录**: 这是源代码目录,通常包含自定义规则的Java源文件。在这里,开发者可能已经实现了特定的代码检查逻辑。 9. **target目录**: ...
sonar-JAVA检查规则指南.docx
03-20
Java 中,使用“BigDecimal(double)”构造函数可能会导致精度问题。因此,应该使用其他构造函数,例如“BigDecimal(String)”或“BigDecimal(int)”。 这些规则是 SonarQube 中的一些基本内置规则,旨在帮助...
sonar-java插件源码
11-05
2. **报告生成**:SonarJava插件会将分析结果转换为SonarQube能理解的格式,生成质量报告。这个过程涉及到问题的定位(行号、列号)、严重程度(bug、violation、info)和修复建议。 3. **配置与扩展**:源码允许...
sonar检测规则整理
12-11
sonar检测规则整理,对比看你的代码,有多少违背规则
Sonar安全扫描代码规则
weixin_44188105的博客
03-21 2963
Sonar安全扫描代码规则
java中Serializable、transient
这里的分享,都是干货
01-13 781
文章目录1、Serializable 序列化接口1.1、有什么用?1.2、什么情况下用?1.3、要注意些什么2、transient 关键字2.1、什么情况下用?2.2、要注意些什么3、序列化与反序列化3.1、serialVersionUID 版本号的作用 1、Serializable 序列化接口 如下,写一个类实现Serializable,并标注序列化版本号 public class Foo implements Serializable { private static final long se
java sonar教程_SonarQube学习入门指南
weixin_30838923的博客
02-16 401
1. 什么是SonarQube?SonarQube®是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码异味。它可以与您现有的工作流程集成,以便在项目分支和拉取请求之间进行连续的代码检查。2. 使用前提条件当前版本 SonarQube 7.4运行SonarQube的唯一先决条件是在您的计算机上安装Java(Oracle JRE 8或OpenJDK 8)。注意:在Mac OS X上,强烈建议安...
sonar代码检查_代码质量管理工具:SonarQube常见的问题及正确解决方案(一)
weixin_39945523的博客
12-04 1096
SonarQube 简介Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具。与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的...
新版sonar代码审查问题总结
热门推荐
邢超的博客
10-14 4万+
主要问题列表: 格式:问题名字+问题出现的次数 Resources should be closed2 资源未关闭,打开发现有两处用到的IO流没有关闭 Conditions should not unconditionally evaluate to "TRUE" or to "FALSE"1 if/else判断里出现了重复判断,比如在if(a>10)的执行体里面又判断i
Serializable接口 序列化 反序列化
Mason97的博客
04-11 307
源码:啥也没有 public interface Serializable { } Serializable是啥 一个对象序列化的接口,一个类只有实现了Serializable接口,它的对象才能被序列化。 什么是序列化与反序列化? 序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。这两个过程结合起来,可以轻松地存储和传输数据。 把对象转换为...
sonar扫描提示:Review this use of bitwise "|" operator;conditional "||" might have been intened;,要怎样处理
05-31
SonarQube提示你应该仔细检查使用位运算符 | 的代码,并考虑在这种情况下使用条件运算符 || 是否更加合适。位运算符 | 和条件运算符 || 有不同的用途,但在某些情况下,它们可以用来实现相似的功能。 如果你确定使用位运算符 | 是正确的,可以忽略这个提示。但是如果你想更改代码以使用条件运算符 ||,可以使用以下步骤: 1.分析代码的逻辑,确保使用条件运算符 || 没有改变代码的含义。 2.将位运算符 | 替换为条件运算符 ||。 3.重新运行 SonarQube 扫描来检查是否已解决问题。 例如,假设你有以下代码: ``` const flag1 = 0b0001; const flag2 = 0b0010; const flag3 = 0b0100; const flag4 = 0b1000; const flags = flag1 | flag2 | flag3 | flag4; ``` SonarQube 将警告你使用了位运算符 |,建议你使用条件运算符 ||。如果你想使用条件运算符 ||,可以这样改写代码: ``` const flag1 = 0b0001; const flag2 = 0b0010; const flag3 = 0b0100; const flag4 = 0b1000; const flags = flag1 || flag2 || flag3 || flag4; ``` 注意,这种方式只在需要将多个标志位转换为布尔值时才可以使用。如果你需要执行按位或运算,你应该继续使用位运算符 |。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值