【转】使用sonar为你的代码质量保驾护航

最新推荐文章于 2024-01-03 18:38:23 发布
最新推荐文章于 2024-01-03 18:38:23 发布
阅读量145 收藏
点赞数
文章标签: java 运维 git

一. 简介
Sonar是一个用于代码质量管理的开放平台,相信大家都不会陌生。Sonar可以集成不同的测试工具,代码分析工具,以及持续集成工具。官方网站https://www.sonarqube.org 

二. Sonar的三种用法

  1. 编写代码时做实时代码检查,有问题直接IDE里提示。参考https://www.sonarlint.org 
  2. 提交代码自动触发检测+辅助code review。插件说明:https://gitlab.talanlabs.com/gabriel-allaigre/sonar-gitlab-plugin 
  3. 定时全局代码检测

这三种方法分别发生在代码开发的3个时间阶段。很容易看到,第1种方式实际上是效率最高的。也推荐大家在自己的IDE里装上这个插件,将bug和不合规的代码扼杀在摇篮中。第3种用法则是一种事后的问题曝光,当发现时bug很可能已经进入master分支。如果没有前面2种用法,bug会持续不断的进入master分支,也缺乏对开发人员的有效提醒。
这篇文章主要说的是第二种方法

三. 为你的工程开启gitlab pipelines
1. 确保你有工程的master权限
2. 若看不见Settings/CICD这一栏,需要先打开Settings/General,确保Sharing and permissions 下的Pipelines不是disable的状态

 


3. 打开http://git.51.nb/你的工程地址/settings/ci_cd,并Enable sonar runner

 


4. 在工程根目录添加.gitlab-ci.yml文件(dev分支):

sonar:
  stage: test
  script: 
    - ~/sonar.sh
  tags:
    - sonar
说明:只扫描提交的代码,会过滤非java文件,过滤测试代码

四. 使用场景
场景1:提交代码自动扫描(注意,只扫描更改的文件),邮件通知作者本次提交有bug需要改

 


点击链接查看,sonar会自动在代码里加comment:

 

最下方展示该提交文件其他bug:

 


Sonar自动给你的gitlab添加todos:

 

场景2:merge request,code review,若存在bug,审核者可选择不予通过

 

场景3:每次扫描全部代码

.gitlab-ci.yml文件内容:


sonar:
 stage: test
  script: 
    - ~/sonar.sh -a
  tags:
    - sonar

 
场景4:特定分支扫描

.gitlab-ci.yml文件内容:


sonar:
 stage: test
  script: 
    - ~/sonar.sh
  tags:
    - sonar
  only:     - master     - release     - dev


 场景5:查看问题+定制化

在gitlab上系统的查看问题还是比较麻烦,我们可以进入http://10.247.22.137:9000/projects 查看问题。注意,这个是为gitlab提交自动扫描专门搭建的最新版的sonar,不同于公司现在用的sonar.51.nb:9000。如果觉得问题检测对于自己的代码块是误报,在经过直属上级的评估后可以将此规则基于该项目降级。


五. 要求

  • 对于p0,p1的java应用,强烈建议开启以上代码检测!
  • 其他级别的应用视情况开启即可


六. 后续计划

  • 任务由单机改为docker化,提升性能。
  • 和ares平台打通

结语
相信阅读本文的各位开发同学都不想仅限于代码的搬运工,Sonar就像是个代码经验极其丰富的老师,他会任劳任怨的帮助我们完善自己代码,让我们的code变得更健壮、更规范、更优雅。虽然有时候某些issue看上去不是什么大问题,但即使只是防御代码,也会有它的价值所在。希望大家都能成为有“代码洁癖”的程序猿 14.gif
weixin_34138377
关注
Linux运维•持续集成自动化(五)- Jenkins + Git实现定时检测,并同步代码
Damon Lee的博客
11-14 1220
如果按照前面的安装方法,Jenkins 和 Git 应该已经可以用WEB打开了,下面我们来介绍怎么配置,怎么使用。本分前半部分我们先用Jenkins配和Git实现定时构建检测代码并将代码分发到生产环境的服务器。 Maven + Neuxs 我们后续再继续更新ing......先来实现基本功能。   注:如果你的环境和下面“准备环境”中不一样,请参考前面的文章,准备好环境再来看本文。 准备环...
sonarqube笔记之--代码注释行的量度
jackyrongvip的专栏
02-13 3856
sonarqube中,关于文档方面的度量有以下方面: 1 sonarqube中的代码注释行的概念(comment lines): Absolute number of comment lines. This metric is calculated differently for each programming language. For instance, in Java...
Jenkins(window版)自动检测代码质量Sonar Qube)
miss1457的博客
02-23 607
使用Jenkins自动检测代码质量
【tool 2】stm32通过基础定时器进行代码运行时间检测,ns级精度
最新发布
zhuimeng_ruili的博客
01-03 1413
stm32通过基础定时器进行代码运行时间检测,ns级精度
Sonar问题汇总
weixin_46133475的博客
03-19 1232
一、背景 最近公司开始实行sonar了,也就是代码检测,保证上传服务器的必须是较高质量代码。于是乎,之前觉得还不错的代码,一检测就是上百个不合格的地方。。。。,所以在这里对遇到sonar 检测不通过的问题做一个汇总。 二、汇总 1、This field is never read. Consider removing it from the class.:这个字段一直没被使用到,建议删除(字段上的意思,定义的一个字段没有使用到) 2、Remove this commented out...
Sonar实战:从入门到进阶的代码质量管理平台
Sonar是一个全方位的代码质量管理解决方案,对于大型项目和长期维护的软件尤其重要,它能有效防止技术债务积累,提高开发效率,并为软件的长期健康保驾护航。通过《Sonar实战·从入门到进阶》这样的指南,开发者可以...
代码扫描 | 把控代码质量的利器
CODING 博客
07-14 1805
本文作者:潘金赤 —— CODING 产品总监 腾讯云研发平台负责人,十年研发能效建设经验 CODING 代码扫描产品负责人 有位小伙子在办公大楼门口抽烟,一位路人经过他的身边对他说:“你知不知道这个东西会危害你的健康?你有没有注意到香烟盒上的那个警告(Warning)?” 小伙子说:“没事儿,我是一个程序员。” 路人说:“这又怎样?” 程序员回答道:“我们从来不关心 Warning,只关心 Error。” 以笑开场,这是一篇写给极少使用/了解代码扫描工具的用户的“启蒙”读物。一方面因为代码扫描.
sonar-scanner-3.0.3.778-windows.zip
07-10
6. **安全分析**:除了基本的质量检查,SonarScanner还能识别潜在的安全漏洞,为软件安全保驾护航。 安装与使用SonarScanner 3.0.3.778的步骤大致如下: 1. 下载解压“sonar-scanner-3.0.3.778-windows.zip”...
WebStorm如何进行代码审查与重构
通过代码审查,开发团队可以发现和修复潜在的问题和错误,提高代码质量,降低后续维护成本,增加代码可读性和可维护性,促进团队协作和知识分享,从而提升整体开发效率。 1.2 WebStorm代码审查工具的优势及特点 ...
基于软件分析的智能化开发新型服务与技术
pl_lab_001的博客
09-26 918
梁广泰,华为云软件分析 Lab 技术专家 / Team Leader,北京大学计算机系博士。研究领域是软件分析、智能化开发、软件工程领域等。 本文以技术文章的方式回顾梁老师在SIG-程序分析技术沙龙上的分享,回顾视频也已经上传 B 站,欢迎小伙伴们点开观看。 https://www.bilibili.com/video/BV1a44y187eKhttps://www.bilibili.com/video/BV1a44y187eK 大家好,非常感谢大家来参加我们今天的SIG-程序分析技术沙龙。我是...
Sonar关键指标计算
the World of Complexity
10-29 1万+
Architecture 1.      Architecture---Total Quality Plugin    架构质量 ARCH = 100 – TI(复杂度指标)   Complexity 2.      Complexity--- Quality Index Plugin  圈复杂度 也被称为McCabe度量。它简单归结为一个方法中’if’,‘for’,’while’等块
sonar 规则总结
热门推荐
今日记一事,明日悟一理,积久而成学。
09-29 3万+
bug类型: 1、".equals()" should not be used to test the values of "Atomic" classes. bug 主要 不要使用equals方法对AtomicXXX进行是否相等的判断 Atomic变量永远只会和自身相等,Atomic变量没有覆写equals()方法. 2、"=+" should not be used instead of...
sonar 分析结果各统计项的含义
weixin_33873846的博客
07-10 1208
2019独角兽企业重金招聘Python工程师标准>>> ...
java检测gitlab提交_gitlab-ci集成sonarqube完成代码检测
weixin_29595517的博客
02-25 770
Runner类型GitLab-Runner可以分类两种类型:Shared Runner(共享型)和Specific Runner(指定型)。Shared Runner:这种Runner(工人)是所有工程都能够用的。只有系统管理员能够创建Shared Runner。Specific Runner:这种Runner(工人)只能为指定的工程服务。拥有该工程访问权限的人都能够为该工程创建specific ...
Sonar代码质量管理工具
weixin_34034670的博客
11-20 97
2019独角兽企业重金招聘Python工程师标准>>> ...
在Jenkins上配置Sonar排除指定目录、指定规则
罗小爬的技术宝书
08-14 9176
在Jenkins中配置sonar排除指定目录、指定规则的检查 (1)排除指定目录 sonar.exclusions=**/*.xml,**/src/test/**,**/target/**,**/src/main/java/com/**/model/protobuf/* (2)排除指定规则 sonar.issue.ignore.multicriteria=e1,e2,e3,e4 sonar.issue.ignore.multicriteria.e1.ruleKey=squid:S2259 sonar.is
SonarQube与GitLab集成实现提交前代码扫描
weixin_30375785的博客
05-24 1万+
1.安装gitlab yum update yum -y install epel-release curl vim policycoreutils-python yum install -y postfix systemctl enable sshd systemctl enable postfix.service systemctl start postfix curl https://pac...
sonar默认密码_团队没人review代码?让sonar来帮你,水平秒提升
weixin_29626189的博客
01-30 838
SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,下面将会介绍一下这个工具的安装、配置以及使用。准备工作;1、jdk(不再介绍)2、sonarqube:http://www.sonarqube.org/downloads/3、SonarQube+Scanner:https://sonarsource.bintray.com/Distribution/sonar...
sonarqube的api分析源代码
qq_44370676的博客
05-27 2136
本人是一个菜鸡硕士,目前做的是源代码审计,也会根据项目需求开发自定义的源代码检测工具。这时候了解一些第三方源代码分析工具就很重要了。目前已用过的有 antlr, sonarqube(除了C语言不开源其他语言的都开源), pycparser(只能分析C语言)。这些第三方库的共同点就是都有现成的函数直接把源代码文本化成AST(抽象语法树),我们只需要根据自己的需要编写遍历AST的方法。包括生成控制流图什么的都是基于AST来分析。 在用过的3种第三方库中,pycparser是p...
Sonar代码质量管理平台详解与安装
Sonar使用涵盖了项目的整个生命周期,从开发初期的代码规范检查,到开发过程中的持续质量监控,再到发布前的质量评估,都能提供有价值的反馈和改进建议。通过定期运行Sonar分析,团队可以持续跟踪代码质量,及时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值