java代码扫描工具比较_代码扫描工具的选型和Sonar最佳实践

最新推荐文章于 2024-05-31 22:09:15 发布
最新推荐文章于 2024-05-31 22:09:15 发布
阅读量2.5k 收藏 13
点赞数 1
文章标签: java代码扫描工具比较
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39856630/article/details/114876314
版权

目标

在编码阶段发现NNE空指针异常、IO流未正确关闭等致命性bug,杜绝此类“零容忍”线上异常的发生。

技术选型

关于代码扫描工具,比较主流的有Sonar、FindBugs、Alibaba Java Coding Guidelines、CheckStyle。

Alibaba Java Coding Guidelines最大的优点是全中文的提示,对国内开发人员相当友好,并且有阿里巴巴团队持续维护。但是经我亲测,无法检测出NNE等潜在bug,所以肯定是排除的。等后续提供了这方面的支持,会是不错的选择。

FindBugs功能完全够用,可以检查出NNE这样的错误,但是很可惜,idea的FindBugs插件最多支持到2018.1版本,看来新时代的我们也无福消受了。但是FindBugs似乎也有独立运行的版本,但是我大致看了一下,GUI界面比较复古风了,看了一下官网,最后一次更新是2015年3月了,这种已经停止维护的东西也不敢用啊

94f5c59cb3c90cb64843ae70af9eaa7e.png

CheckStyle跟Alibaba Java Coding Guidelines有点类似,基本也是规范代码格式的,不能找出潜在bug,因此排除

Sonar大致分为idea插件版本的SonarLint和带有非常友好功能强大GUI的SonarQube代码质量平台,完全能满足我们的需求。并且Sonar提供了面向gitlab、jekins、maven的无缝对接支持,是当下最活跃热门的代码质量扫描工具。

综上所述,我们也只能选择Sonar了。

Sonar最佳实践

简单做法

最简单的做法就是,idea的plugins应用市场直接搜索SonarLint然后安装就可以了。然后直接鼠标右键选择Sonar扫描文件就可以看到结果了:

03bf1c7996dc420ceb47ac093c795472.png

这种简单粗暴的问题有两个

Sonar的规则有一千多条,扫描出的问题严重性有Bugs、Vulnerabilities、Code Smells等几个级别,如果所有的问题都要改过去,效率就太低了,也难以执行,个人认为,除了Bugs级别的必须改掉之外,其他级别的问题不必强制性改掉,有追求的同学可以当作优化自己代码风格的手段。但是不幸的是,SonarLint的错误提示并没有按照错误等级分类过滤的选项,在茫茫问题条目中一个个找Bugs级别的问题,着实蛋疼。当然,也可以右键选择”disable rules“来直接去掉非Bugs等级的扫描规则,但也不够优雅。

4ae1d3464e92fdc4a181e972d53d6a65.png

这种方式全靠自觉,假设代码review的时候,需要把解决掉所有Bugs级别的问题,作为前置准备工作之一,那我们还得像第1点里面说的那样看有没有遗留的bugs级别问题。

推荐做法

第一步下载

自己去官网下一个SonarQube的安装包,这里面有个坑,官网上最新的LTS版本的SonarQube(目前是version-7.9.3)最低要求的Java版本是JDK11,我们现在普遍还是用的Java8,所以推荐大家去下载6.7.7版本的。值得一提的是,SonarLint插件也可选择把扫描结果同步到SonarQube平台上,但是两者的版本要对应好,否则无效(这真的很坑)。

我百度网盘准备了sonarqube-6.7.7的zip文件,链接: pan.baidu.com/s/1aFOTfX0j… 密码: 1n2c

第二步启动

下载完毕,解压后,进入到/sonarqube-6.7.7/bin下面,可以看到有所有通用的平台的启动文件

819b715455a9a10e8fbc172e184587c5.png

我的Mac,在macosx-universal-64文件位置,执行命令 sh sonar.sh start 就可以了,完全不用做其他任何操作,启动日志在/sonarqube-6.7.7/logs/sonar.log中,然后浏览器前往localhost:9000,成功后页面如下:

37dd047dee2fb1f8a2f3e5d0a9ea5506.png

第三步初始化配置

点击右上角选择登陆,初始用户名密码都是admin,然后根据步骤配置token信息。

在项目根目录下面(其实可以在任意目录下面),执行命令

mvn clean install sonar:sonar -Dsonar.host.url=http://localhost:9000 -Dsonar.login=d7b53bc44cd108ee40b6691433bf70eb0a507b0b

复制代码

Dsonar.login后面替换成你自己的token就行了。

执行完后,再回到SonarQube平台,可以看到:

cc4a4e5553ac14479f96c52dbc20cde3.png

点击项目名字,然后再点击Bugs

cf6e4e254e742000399aec6d2c32c12b.png

如下图,我们的老朋友NNE也在其中了

2663942c672f8f4d9a1481a91057c0c5.png

我们改掉后,再重新执行一回命令,Bugs为0就OK啦。(sonar结合上下文跨方法判断的能力比较弱,如果确定不存在风险可以手动选择“Resolve as won't fix”)

当然,为了方便,也可以讲这条mvn命令配置为idea快捷启动项,如下:

951772ebc0a5b7db7b8ef075fc19286c.png

如何实施

将Sonar扫描Bugs问题归零作为代码review前置准备的必要检查之一。

大团队可考虑:申请云服务器来部署Sonar,接入gitlab,每次提交的时候检查有无Bugs问题,如有,则发送钉钉告警信息。接入项目部署平台,将Bugs问题检查作为部署前置检查

weixin_39856630
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
deploy-sonar代码扫描分析工具
03-01
4. **代码质量管理**:通过定期分析,推动团队遵循最佳实践,提高代码的可读性、可维护性和安全性。 总结来说,SonarQube是开发团队不可或缺的代码质量保障工具,通过其丰富的分析功能和灵活的定制能力,能够有效地...
deploy-sonar代码扫描分析
10-09
"deploy-sonar代码扫描分析"是一个针对软件代码质量进行深度检查的过程,它通常涉及到使用SonarQube这样的工具来执行静态代码分析和复杂度计算。SonarQube是一款开源平台,专门用于持续代码质量管理,它能检测出代码...
Java安全代码审计介绍及扫描工具Fortify详解
02-24
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计、Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在我们进行代码审计过程中能极大的帮助我们发现代码漏洞所在点,精准的定位和全面的扫描极大的减轻了我们在海量代码审计的工作。
提升代码质量,使用插件对 java 代码进行扫描检查分析
西凉的悲伤博客
03-22 2779
maven-checkstyle-plugin 插件对 java 代码进行检查很多时候我们的代码写的不规范,比如没缩进、参数间没空格、导入的包没用到没删除、方法很长没有进行拆分、 直接对方法参数进行了赋值分配等等不规范的操作或写法。为了规范代码并提高代码的质量,以及扫描代码检测潜在的不合理代码,我们可以使用一些插件来进行代码扫描分析。maven-checkstyle-plugin 是 maven 提供的一个插件,用于扫描代码检测不合理需要改进的差代码
看这里,全网最详细的Sonar代码扫描平台搭建教程
最新发布
apex_eixl的博客
05-31 1690
sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 ​
几款Java源码扫描工具(FindBugs、PMD、SonarQube、Fortify、WebInspect)
没刮胡子的程序员专栏
11-23 7066
几款Java源码扫描工具FindBugs、PMD、SonarQube、Fortify、WebInspect
sonarqube:java代码扫描
耕耘
04-19 5974
一、概述 配置好sonar的服务端后,接下来就要使用sonar检测我们的代码了,sonar主要是借助客户端检测工具来检测代码,所以要使用sonar就需要先在我们本地配置好客户端检测工具。 客户端可以通过IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式进行扫描分析。常用的有扫描器有Sonar-Scanner和Sonar-Runner,使用起来都差不多。这里我使用Sonar-Scanner来作为检测客户端。 二、安装sonar-scanner 下载sonar-scanner 地址
主流代码扫描静态分析工具
baidu_39574145的博客
02-11 9834
市场上静态代码扫描工具百花齐放,种类繁多,本文通过相关云厂商咨询、互联网峰会资料查阅和主流技术网站检索得出初步结论,和大家分享讨论。
sonarqube,sonar-scanner代码扫描工具
01-09
通过sonar扫描java代码,可以帮忙进行代码优化,一般在项目最后上线前都要求进行代码扫描用此扫描工具是一个不错的择,压缩包里包含了sonarqube-5.6.7.zip,sonar-scanner-2.8.zip,Sonar代码扫描环境搭建.docx...
代码质量扫描工具sonarqube-7.1,包含中文包
12-14
SonarQube是一款强大的代码质量管理工具,主要用于检测和分析源代码中的潜在问题,包括但不限于代码异味、错误、漏洞和代码复杂性。它提供了一个统一的平台,帮助开发团队实现持续集成和持续质量改进,支持多种编程...
Sonar-runner Sonar代码扫描辅助工具sonarScanner
07-20
sonar4版本扫描辅助程序. 向服务器上传代码并做扫描分析. 使用方式: CMD切换到项目根目录下(sonar-project.properties文件所在目录)运行 sonar-runner
四种常用的java代码扫描工具介绍
03-30
10个静态代码检查工具
pantouyuchiyu的博客
07-17 5662
静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。
java常用工具之Scanner类
恒二哥的博客
05-20 6932
Java 的 Scanner 类是一个方便在控制台扫描用户输入的工具类,虽然它也可以扫描文件内容,但我们通常更喜欢它扮演前面的角色,因为扫描文件可以通过文件流来完成。接下来,我们通过几个简单的示例讲一下 Scanner 类。
Java基础 | 专业排行榜前7的Java代码审计工具
ch98000的博客
09-02 5792
本文给出了上面的所有好的Java审计工具和基本使用方法,和各自特点,并且以上都很好用,都很优秀,如果能好好使用,可以让工作效率大大增加。
JScanner: 简洁高效的Java代码扫描工具
gitblog_00081的博客
04-24 512
JScanner: 简洁高效的Java代码扫描工具 项目地址:https://gitcode.com/hmx222/JScanner JScanner 是一个强大的开源项目,专为Java开发者设计,用于静态代码分析和质量检查。它能够帮助开发者在编码阶段发现潜在的问题,提高代码质量和可维护性。 技术分析 JScanner的核心是基于Java字节码解析,利用ASM库进行深度剖析,对源代码进行非运行时的...
Java代码质量分析Sonar
赵广陆
06-18 4517
目录 1. sonar安装 1.1 简介 1.1.1 客户端 1.1.2 sonar 版本区分 1.1.2.1 社区版 1.1.2.2 开发者版 1.1.2.3 企业版 1.2 安装部署 1.2.1 修改文件句柄数 1.2.2 创建挂载目录 1.2.3 创建docker-compose.yml 1.2.4 启动 1.2.4.1 访问测试 1.2.5 安装插件 1.2.5.1 汉化插件 1.3 静态分析插件介绍 1.3.1 什么是静态代码分析 1.3.1.1 静态代码分析优势
IDEA插件之代码质量检查利器 - Alibaba Java Coding Guidelines、CheckStyle、PMD、FindBugs、SonarLint
张维鹏的博客
08-15 9211
随着业务的发展,系统会越来越庞大,原本简单稳定的功能,可能在不断迭代后复杂度上升,潜在的风险也随之暴露,导致最终服务不稳定,造成业务价值的损失。而为了减少这种情况,其中一种比较好的方式就是提高代码质量,从而降低错误风险。工欲善其事,必先利其器,这篇文章给大家介绍几种检查代码质量的利器:Alibaba Java Coding Guidelines、CheckStyle、PMD、FindBugs、SonarLint...
Java代码规范检查插件
qq_35224503的博客
06-28 900
Alibaba Java Coding Guidelines 专注于Java代码规范,目的是让开发者更加方便、快速规范代码格式
静态代码扫描工具java_静态代码扫描工具 - sonarQube (四) - 扫描 java 项目
05-13
在上一篇文章中,我们介绍了如何安装 SonarQube 和 SonarScanner,并扫描了一个 C# 项目。本文将介绍如何扫描 Java 项目。 ## 准备工作 首先,我们需要安装 Java 环境。可以从官方网站上下载并安装 JDK。 另外,我们还需要安装 Maven。可以从官方网站上下载并安装 Maven。 ## 配置 SonarQube 与上一篇文章相同,我们需要在 SonarQube 中添加 Java 插件。在 SonarQube 的插件页面中搜索 Java 并安装。 ## 配置项目 在扫描 Java 项目之前,我们需要在项目中添加一个 SonarQube 插件。在项目的 pom.xml 文件中添加以下内容: ```xml <build> <plugins> <plugin> <groupId>org.sonarsource.scanner.maven</groupId> <artifactId>sonar-maven-plugin</artifactId> <version>3.6.0.1398</version> </plugin> </plugins> </build> ``` ## 执行扫描 在项目的根目录下,执行以下命令: ``` mvn sonar:sonar \ -Dsonar.projectKey=<项目键> \ -Dsonar.host.url=http://localhost:9000 \ -Dsonar.login=<访问令牌> ``` 其中,`<项目键>` 是在 SonarQube 中创建项目时指定的项目键;`http://localhost:9000` 是 SonarQube 的地址;`<访问令牌>` 是在 SonarQube 中创建用户并生成的访问令牌。 执行完毕后,访问 SonarQube 网站,可以看到 Java 项目的扫描结果。 ## 结论 通过上述步骤,我们可以轻松地扫描 Java 项目,并通过 SonarQube 分析代码质量。如果想了解更多关于 SonarQube 的用法,可以查看官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值