sonar与指标解读

已于 2022-11-19 17:39:24 修改
阅读量1.4k 收藏
点赞数
分类专栏: 搞架构 学基础 文章标签: android
于 2022-11-16 10:20:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pouloghost/article/details/127867099
版权

Sonar

整体

要先在服务端更新插件,才能在本地使用!!!Sonar是服务端通过plugin进行数据解析和转义的,所以sonar形成了类似于拉docker的C-S扫描模式,必须服务端先行。

Android

通常是按照$SONAR_URL/documentation/analysis/scan/sonarscanner-for-gradle/ 来配置。

  • gradle 6.1.1要指定jdk11才能跑起来,与文档写的不一致
  • 测试代码大概率会有问题,对于unittest加-DskipTests=true参数跳过
  • 对于AndroidTest,在gradle中手动disable
- tasks.whenTaskAdded {task ->
   if(task.name.contains("AndroidTest") || task.name.contains("androidTest")) {
       task.enabled = false
   }
}
  • 文档里的多module说明是有误导性的,在一个大项目中执行sonarqube并不会构建一个整合报告,而是每个子项目一份。即便是sonar.projectName都一样,也是覆盖关系,不是merge
  • 可以利用web api整合各种项目的结果,常用的是
    api/projects/search?q= api/measures/component。后者要传metricKeys,可以在sonarqube的结果页抓包确定每个metric的key。

iOS

不要用idean的那个plugin,跟sonarqube server 9.x有冲突,起不来服务。用https://github.com/sonar-next/sonar-swift。后者的核心数据是lizard、infer,和前者不太一样。

  • idean的脚本也不要用,里面会有如下问题:
    • xcodebuild build-for-testing是要有地方跑ut的,大概率会有依赖不支持模拟器,而CI的机器上只能模拟器,直接跑不通
    • oclint缺COMPILER_INDEX_STORE_ENABLE=NO,报错

flutter

https://github.com/insideapp-oss/sonar-flutter,问题不大。而且支持整合多个子project。如果根目录不是app,则需要同时指定

sonar.sources=aaa
sonar.projectBaseDir=bbb

指标选取

以下为论文结论摘要。

code smell

无效 java code smell列表

code smell无效的理由
所有tag包含spring的非客户端环境
“Bean Validation” (JSR 380) should be properly configured非客户端环境
“Class.forName()” should not load JDBC 4.0+ drivers非客户端环境
“private” methods called only by inner classes should be moved to those classes更应该考虑合理归属
An open curly brace should be located at the beginning of a line不符合客户端code convension
Default annotation parameter values should not be passed as arguments不传default增加了理解复杂度,不利于代码重构

太多了,待补充

Issues

太多了,待补充

圈复杂度

  • 圈复杂度比Essential Complexity更能预测bug。nasa
  • 圈复杂度的合理阈值是20(很差)和10(有危险)。nasa
  • 圈复杂度密度对维护成本有超过一半的影响力。DoD

Sonar中没有,但很有用的指标

  • Module Design Complexity,用以确定模块划分合理程度。
  • mccabe是个好东西。
为啥强制昵称
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SonarQube检测出的bug、漏洞以及异味的修复整理
2301_82242204的博客
04-09 948
本人面试腾讯,阿里,百度等企业总结下来的面试经历,都是真实的,分享给大家!
sonar最大平均圈复杂度
01-19
根据sonar分析结果,获取圈复杂度和方法来计算最大平均圈复杂度。
sonar指标
最新发布
进行中
06-05 266
1、Bug : bug数 2、Vulnerabilities: 漏洞数 3、Code Smells:代码相似度 4、Coverage:覆盖率 5、Duplications:重复率
SonarQubeSonarQube 指标解读
书山有路,学海无涯。记录成长,追逐梦想
11-28 3299
SonarQube 是一种自动代码审查工具,可以检测出重复代码、代码漏洞、代码规范和安全性漏洞的问题。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。Sonar Qube 可以与多种软件整合进行代码扫描,比如 Maven,Gradle,Git,Jenkins 等,并且会将代码检测结果推送回 SonarQube,并且在系统提供的 UI 界面上显示出来。
代码质量难评估?一文带你用 SonarQube 分析代码质量!
陈树义
04-19 378
  大家好,我是树哥!无论是架构师还是研发经理,代码质量都是必须要关注的重点。Sonar(没错,是 Sonar,不是 SonarQube)是一个用于代码质量管理的开源平台,用于管理代码的质量。它通过插件形式可以支持二十几种语言的代码质量检测,通过多个维度的检查了快速定位代码中潜在的或者明显的错误。千里之行始于足下,今天就让我带大家用一个简单的例子,看看怎么使用 SonarQube 进行代码质量管理...
sonarqube 代码质量分析
weixin_42412601的博客
05-11 2627
目录linux下的安装部署版本选择下载安装下载配置SonarQube 启动SonarQube汉化`SonarQube`扫描`maven`项目进行代码质量分析maven项目的扫描配置扫描结果分析SonarLint插件独立模式直插直用连接模式 linux下的安装部署 SonarQube是一种自动代码审查工具,用于检测代码中的错误,漏洞和多余的代码。它可以与您现有的工作流程集成,以便在项目分支和拉取请求之间进行连续的代码检查。比如: SonarQube集成 gitlab,在分支推送的时候自动进行代码检查分析,生
代码审查工具SonarQube详解
知识库总结、分享
06-07 6156
Sonar Qube可以与多种软件整合进行代码扫描,比如Maven,Gradle,Git,Jenkins等,并且会将代码检测结果推送回Sonar Qube并且在系统提供的UI界面上显示出来一个 SonarQube 实例包含三个组件:为什么选择PostgreSQL不支持mysql?系统安装条件:如果您在 Linux 上运行,则必须确保:修改/etc/sysctl.conf 添加vm.max_map_count = 524288 不修改vm.max_map_count报错提示: 默认admin密码admin登录
Sonar的配置与安装
10-16
Sonar 配置与安装 Sonar 是一款功能强大的代码检查工具,能够对代码进行静态分析,检测代码中存在的缺陷和问题。Sonar 的配置和安装是使用 Sonar 的前提,下面将详细介绍 Sonar 的安装和配置过程。 Sonar 简介 ...
sonar环境搭建与使用
10-25
sonar,代码检查的好帮手,一行命令搞定,从此告别劣质代码
sonar中文插件1.28
07-28
2. **更深入的理解**:中文界面使得开发者能够更好地理解SonarQube提供的质量指标和建议,有助于提升代码质量。 3. **团队协作**:在多语言团队中,使用中文插件可以降低沟通成本,确保每个成员都能有效参与代码审查...
sonar7.8.zip
09-03
sonar-gitlab-plugin-4.0.0.jar sonar-l10n-zh-plugin-1.28.jar sonar-pmd-plugin-3.2.0-SNAPSHOT.jar sonar-scanner-cli-4.0.0.1744-linux.zip sonarqube-7.8.zip
sonar与maven的集成使用说明
08-24
sonar与maven的集成使用说明
白盒测试工具 - sonar报告常见示例分析,sonar代码质量问题分析演示
小蓝枣的博客
05-29 2486
sonar代码质量问题分析演示。 bug分析 ① 操作符两边使用相同的值 ② 变量、类或函数没有被定义就使用 ③ html一些不推荐使用的元素,并提供用哪些来代替 ④ html元素没有包含lang属性 代码味道 ① 不要有注释的代码,会使代码臃肿降低可读性。 ② 合并可折叠的语句会增加代码的可读性。 ③ 结构中有两个分支且实现相同容易出现问题,最好合并起来。 ④ 函数命名不规范。 ⑤ 声明了局部变量但是没有用,应该删除来提高可维护性。 ⑥ 函数过于复杂不利于维护 ⑦ 重复的字符串文本使重构代码的过程容易出错
SonarQube教程-指标定义
隔壁老瓦的专栏
06-16 1258
指标定义 复杂 Complexity(complexity) 它是根据通过代码的路径数计算的圈复杂度。每当函数的控制流分裂时,复杂度计数器就会增加 1。每个函数的最小复杂度为 1。该计算因语言而异,因为关键字和功能确实如此。 特定于语言的详细信息 认知复杂度(cognitive_complexity) 理解代码的控制流有多难。有关用于计算此度量的数学模型的完整说明,请参阅认知复杂性白皮书。 重复 Duplicated blocks(duplicated_blocks) 行的重复块数。...
Sonarqube指标的定义及计算方法
Thinner123的博客
12-20 7654
本文内容介绍了Sonarqube分析项目后各指标的定义和计算方法。 一.可靠性 1.评级计算方法(bug): A:表示代码无bug,最高级别 B:代码有一个次要bug,等级评估为B C:代码有一个重要bug,等级评估为C D:代码有一个严重bug,等级评估为D E:代码有一个阻断bug,等级评估为E,最低级别。 2.bug严重级别: (1)阻断:阻碍开发或测试工作的问题;造成系统崩溃、死机、死循环,导致数据库数据丢失,与数据库连接错误,主要功能丧失,基本模块缺失等问题。如:代码错误
Sonar关键指标计算
热门推荐
the World of Complexity
10-29 1万+
Architecture 1.      Architecture---Total Quality Plugin    架构质量 ARCH = 100 – TI(复杂度指标)   Complexity 2.      Complexity--- Quality Index Plugin  圈复杂度 也被称为McCabe度量。它简单归结为一个方法中’if’,‘for’,’while’等块
sonar的详细介绍(1)
weixin_44249280的博客
01-02 2025
一种自动静态代码审查工具,用于检测代码中的错误、漏洞和代码异味。可靠性:发现代码中的潜在bug安全性:发现代码中的安全漏洞可维护性:发现代码中不符合代码编写规范的地方单元测试:可以统计并展示单元测试的覆盖率重复:可以统计并展示重复的行,块,密度等数据注释:可以统计并展示代码的行数,注释的行数,占比等数据 、复杂度:可以显示代码的圈复杂度和认知复杂度。
SonarQube工具详细介绍及使用方法
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-13 1088
SonarQube工具详细介绍及使用方法
圈复杂度 Cyclomatic complexity 介绍
gigglesun的专栏
05-22 3483
圈复杂度介绍

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值