java 静态扫描_静态代码扫描工具 – (八)- 扫描Java项目

最新推荐文章于 2024-02-03 21:25:42 发布
最新推荐文章于 2024-02-03 21:25:42 发布
阅读量1k 收藏
点赞数
文章标签: java 静态扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32312081/article/details/114209627
版权

静态代码扫描工具 – (八)- 扫描Java项目

1、准备好Java项目代码

只要是java语言实现的项目均可。

比如,自动化测试的代码,测试平台等均可以。

本次案例,使用java语言实现的测试平台来做为扫描对象。

20200721171955-5f1723bb6fad7.png

2、了解java项目代码的结构。

为什么要了解项目代码结构呢?

1)区分出来,哪些是开发人员写的代码,哪些是引用的第三方包或配置文件等。

2)sonarQube主要是分析开发人员写的代码质量,对于外部的依赖库这些全部都可以忽略掉。

经过与开发人员的沟通,上图中的代码当中,有如下说明:

20200721171957-5f1723bd1a80e.png

3、在项目根目录下,配置扫描数据。

3.1 在项目下:添加 sonar-project.properties 文件

20200721171959-5f1723bf9fed1.png

3.2 copy以下内容到sonar-project.properties当中

# must be unique in a given SonarQube instance

sonar.projectKey=my:project

# --- optional properties ---

# defaults to project key

#sonar.projectName=My project

# defaults to 'not provided'

#sonar.projectVersion=1.0

# Path is relative to the sonar-project.properties file. Defaults to .

#sonar.sources=.

# Encoding of the source code. Default is default system encoding

#sonar.sourceEncoding=UTF-8

3.3 配置sonar.projectKey

​ 1、sonar.projectKey(必填): 的值为你的项目名称,是会显示在sonarQube管理平台上的。

​ 要求在SonarQube当中,项目key名唯一。其它项目不能够再取这个名字。

​ 2、sonar.projectName:项目名称。一般与key名一致。

​ 3、sonar.sources: 项目下有多个目录。可以指定要扫描的源码目录。

​ 主要目的是扫描团队当中开发人员编写的代码 。所以可以根据项目情况来指明。

​ 4、sonar.sourceEncoding:指定源码的编码格式,一般都会去指定为UTF-8。

​ 5、sonar.java.binaries(必填):指定java文件编译后class文件目录。

​ 6、sonar.language:指定在扫描当中,只扫描的语言。

20200721172000-5f1723c0be3c9.png

4、启动扫描。

启动方式:在项目的根目录下,运行sonar-scanner命令

20200721172002-5f1723c2abd46.png

等待任务扫描完成。

20200721172005-5f1723c5239ae.png

在扫描任务完成之后,sonarQube需要将其扫描结果写入数据库,需要一定的时间。

扫描的代码量越大,写入数据库的时间相对的也要长一点。

5、在sonarQube上查看扫描结果。

在sonar-scanner提示扫描完成之后,访问sonarQube地址( http://localhost:9000/projects ),会看到有1个后台任务正在执行中。

等待sonarQube的后台任务处理完成,再去查看项目分析结果:

20200721172008-5f1723c8f0d71.png

cwloe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常用Java静态代码分析工具的分析与比较
03-04
本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了现有4种主流Java静态代码分析工具(Checkstyle,FindBugs,PMD,Jtest),最后从功能、特性等方面对它们进行分析和比较,希望能够帮助Java软件开发...
10个静态代码检查工具
pantouyuchiyu的博客
07-17 4908
静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行
java静态代码扫描工具_静态代码扫描工具 - ()- 扫描Java项目
weixin_42299089的博客
02-13 609
1、准备好Java项目代码只要是java语言实现的项目均可。比如,自动化测试的代码,测试平台等均可以。本次案例,使用java语言实现的测试平台来做为扫描对象。2、了解java项目代码的结构。为什么要了解项目代码结构呢?1)区分出来,哪些是开发人员写的代码,哪些是引用的第三方包或配置文件等。2)sonarQube主要是分析开发人员写的代码质量,对于外部的依赖库这些全部都可以忽略掉。经过与开发人员的沟...
java静态代码分析和漏洞扫描
海边de曼彻斯特的博客
12-22 409
Find Security Bugs:Find Security Bugs 是一个用于检测 Java 代码中安全漏洞的插件,可以与静态代码分析工具集成使用。OWASP Dependency-Check:OWASP Dependency-Check 是一个开源工具,用于扫描项目的依赖库,检测其中的已知漏洞。SonarQube:SonarQube 是一个开源的代码质量管理平台,可以对项目进行静态代码分析,检测代码质量问题和安全漏洞。
主流代码扫描静态分析工具
baidu_39574145的博客
02-11 9705
市场上静态代码扫描工具百花齐放,种类繁多,本文通过相关云厂商咨询、互联网峰会资料查阅和主流技术网站检索得出初步结论,和大家分享讨论。
几款Java源码扫描工具(FindBugs、PMD、SonarQube、Fortify、WebInspect)
没刮胡子的程序员专栏
11-23 5230
几款Java源码扫描工具FindBugs、PMD、SonarQube、Fortify、WebInspect
Java静态检测工具的简单介绍
03-23
静态检查:静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人...看了一系列的静态代码扫描或者叫静态代码分析工具后,总结对工具的看法:静态代码扫描工具,和编译器的某些功能其实是
momo-code-sec-inspector-java:IDEA静态代码安全审核及漏洞一键修复插件
03-17
本插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。 本插件利用IDEA原生检查机制检查项目,自动检查当前活动窗口的活动文件,检查速度快,占用资源少。 插件...
JAVA本地监听与远程端口扫描(源代码+论文).zip
06-15
JSP将Java代码和特定变动内容嵌入到静态的页面中,实现以静态页面为模板,动态生成其中的部分内容。JSP引入了被称为“JSP动作”的XML标签,用来调用内建功能。另外,可以创建JSP标签库,然后像使用标准HTML或XML标签...
Java代码静态代码检查checkstyle
最新发布
快乐江小鱼的博客
02-03 1095
checkstyle配置要插入到哪些模块,模块是树形结构,Checker模块是根。下一级别的模块包含FileSetChecks(接收一组输入文件并触发错误消息的模块)、Filters(过滤审查四件如错误消息的模块)、AuditListeners(报告接收到的事件的模块)。TreeWalker的操作方法是将每个Java源文件转化为抽象语法树,把结果传递给子模块检查树中的某些方法。给模块属性设置非默认值,定义module元素的property子元素,也要提供name和value属性。(2)加载预定义包中的类。
为OD机试 - 静态扫描Java)
u012657708的博客
08-08 58
给出源代码文件标识序列和文件大小序列,求解采用合理的缓存策略,最少需要的金币数。1、文件扫描的成本和文件大小相关,如果文件大小为N,则扫描成本为N个金币。3、扫描报告缓存后,后继再碰到该文件则不需要扫描成本,直接获取缓存结果。2、扫描报告的缓存成本和文件大小无关,每缓存一个报告需要M个金币。第二行为文件标识序列:F1,F2,F3,....,Fn。第三行为文件大小序列:S1,S2,S3,....,Sn。第一行为缓存一个报告金币数M,L
技术分享 | 静态扫描体系集成
hogwarts_ziqi的博客
09-21 436
FindBugs 是一个 Java 项目静态代码扫描工具,它支持的项目类型包括 Maven,Grade,Ant等,可以在不运行程序的前提下对软件进行潜在 Bug 的分析,帮助团队在程序运行之前就最大程度发现隐藏较深的问题,提示的内容包含真正的权限和潜在可能发生的错误问题;****内容全面升级,5 个月 20+ 项目实战强化训练,资深测试架构师、开源项目作者亲授 **BAT 大厂前沿最佳实践,**本文节选自霍格沃兹测试开发学社内部教材。
MOMO CODE SEC INSPECTOR-Java项目静态代码安全审计idea插件工具
bozi
12-19 2051
MOMO CODE SEC INSPECTOR-Java项目静态代码安全审计idea插件工具
华为OD机试 - 静态扫描Java & JS & Python)
伏城之外的博客
12-30 4492
2022.Q4 已支持JavaJavaScript、Python,贪心思维
使用sonarqube scanner对项目进行扫描
weixin_43652535的博客
03-20 2680
1、在项目根目录新建一个sonar-project.properties文件,输入以下内容: 其中:projectName是项目名字,sources是源文件所在的目录 2、启动sonarqube 3、在cmd命令中输入sonar-runner,项目会开始进行分析 4、打开http://localhost:9000/,可以看到项目分析进度,分析成功后会自动生成报告,点击对应的BUG就可以查看代码分...
SonarQube6.7.6配置和扫描Maven项目
sankoudoudou的博客
12-07 3104
SonarQube是管理代码质量一个开放平台,准备工作; 1、jdk(不再介绍) 2、sonarqube:https://www.sonarqube.org/downloads/    注:下载社区版-COMMUNITY-EDITION,我下载的是OMMUNITY-EDITION-6.7.6 2.1 解压sonarqube对应目录bin中打开对应系统目录下的启动文件,本位以windows-...
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4517
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
【满分】【华为OD机试真题2023 JAVA&JS】静态代码扫描服务
qq_34465338的博客
01-05 3533
静态代码扫描服务 知识点数组字符串哈希表时间限制:1s空间限制:256MB限定语言:不限 题目描述:静态扫描快速快速识别源代码的缺陷,静态扫描的结果以扫描报告作为输出:1、文件扫描的成本和文件大小相关,如果文件大小为N,则扫描成本为N个金币 2、扫描报告的缓存成本和文件大小无关,每缓存一个报告需要M个金币 3、扫描报告缓存后,后继再碰到该文件则不需要扫描成本,直接获取缓存结果 给出源代码文件标识序列和文件大小序列,求解采用合理的缓存策略,最少需要的金币数。
java 静态扫描,开发JAVA白盒测试静态扫描器必备基础
weixin_36004568的博客
03-21 471
开发JAVA白盒测试静态扫描器必备基础JAVA白盒测试静态扫描器能够在代码不运行的情况下,扫描我们的java代码是否存在bug.我们能够在扫描工具嵌入到eclipse开发工具中,让开发实时的扫描,也能够在ant下批量后台的扫描。现在静态测试已经经过一定的时间了,已经深深的得到了开发的喜欢。更主要的原因是工具让他们即时的发现了代码的问题。同时也给我们开发更多的检查机制带来了更大的信心。JAVA白盒测...
静态代码扫描工具java_静态代码扫描工具
05-13
Java静态代码扫描工具很多,以下是一些常用的: 1. FindBugs:是一个开源的静态代码分析器,可以检查Java代码中的错误、缺陷和潜在的性能问题。 2. PMD:也是一个开源的静态代码分析器,可以检查Java代码中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值