sonar的详细介绍(1)

最新推荐文章于 2024-05-31 22:09:15 发布
最新推荐文章于 2024-05-31 22:09:15 发布
阅读量1.9k 收藏 30
点赞数 24
分类专栏: 测试工具 文章标签: 自动化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44249280/article/details/135333959
版权

背景:对于代码的静态扫描工具,这边主要介绍sonar的一些简介和工作原理,下一篇再详细介绍soar的安装配置。

一.sonar简介

一种自动静态代码审查工具,用于检测代码中的错误、漏洞和代码异味。 可以从七个维度检测和扫描代码质量:

可靠性:发现代码中的潜在bug

安全性:发现代码中的安全漏洞

可维护性:发现代码中不符合代码编写规范的地方

单元测试:可以统计并展示单元测试的覆盖率

重复:可以统计并展示重复的行,块,密度等数据

注释:可以统计并展示代码的行数,注释的行数,占比等数据 、

复杂度:可以显示代码的圈复杂度和认知复杂度

二.sonar扫描的意义

1. 测试左移,项目过程中,问题发现的越早,解决的成本越小,通过代码静态扫描,帮助开发人减轻开发和修复的负担。

2. 规范代码编写规范,包括良好的命令,注释习惯等,可以使代码更好维护和传承,减少人员变动带来的交接成本。

三.集成现有工作流,实现代码质量持续扫描

CI流程:

1.开发人员在 IDE 中开发和合并代码,最好使用SonarLint插件在编辑器中接收即时反馈

2.Jenkins上配置CI流程,集成git+SonarQube 扫描器(SonarScanner)

3.开发人员推送代码到git中

4.CI工具-Jenkins触发自动构建, 执行SonarScanner

5.扫描器将结果发布到 SonarQube 服务器 6.服务器通过 SonarQube 界面、电子邮件等方式向开发人员提供反馈 7.开发人员根据扫描出的问题,评估修改相关代码

四.sonar扫描配置及结果说明

1.  评级说明:

A-没有问题;

B-只要有一个次要问题;

C-只要有一个重要问题;

D-只要有一个严重问题;

E-只要有一个阻断级别问题;

bug:代码中的bug,原则上都需要修复

漏洞:指安全方面的问题,即可能会被黑客攻击利用的地方。比如密码在代码中明文传输

异味:主要是代码编写规范方面的问题,需要评估是否需要修改,可能会导致一些隐藏bug。比如父类和子类的命名一样,一个不变的字符串多次出现,就应该提取成一个常量,方便使用

覆盖率:单元测试覆盖率

重复块:连续十行代码重复,则定义为一个重复块

重复度:重复的代码行数和总的代码行数比例

2. 可以在质量配置,激活更多的校验或者把评估后没有必要的校验关闭

五.当前项目扫描发现的常见问题

  1.当前项目中常见阻断类(P0)bug:

资源没有关闭-Use try-with-resources or close this "xxx" in a "finally" clause.

循环没有写退出条件-Add an end condition to this loop.

2.当前项目中常见严重类(P1)bug:

Finally块中不应该写return,throw,break等-Remove this throw statement from this finally block.

随机数重复使用-Save and re-use this "Random".

0做为被除数  

3.当前项目中常见阻断类(P0)漏洞:

代码中密码等凭证使用硬编码-PWD' detected in this expression, review this potentially hardcoded credential.

不可信的XML应该使用本地静态DTD进行解析,否则会被XML实体攻击-Disable XML external entity (XXE) 

一只会奔跑的小橙子
关注
  • 24
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SonarScanner扫描本地项目代码
万物皆可学
06-16 2887
和Windows一样设置环境变量指定你存放sonarscanner的路径,path添加到bin目录,项目根目录创建sonar-project.properties并设置参数,终端跳到目录路径下执行sonar-scanner即可。接着编辑path的变量,新增一条值,%SONAR_SCANNER_HOME%\bin,指定到你的SonarScanner bin目录。sonar.java.binaries=指定编译目录,官方示例没有提及,如果不设置扫描会报错,可以没有编译目录但必须设置次参数。
代码审查工具SonarQube详解
知识库总结、分享
06-07 6137
Sonar Qube可以与多种软件整合进行代码扫描,比如Maven,Gradle,Git,Jenkins等,并且会将代码检测结果推送回Sonar Qube并且在系统提供的UI界面上显示出来一个 SonarQube 实例包含三个组件:为什么选择PostgreSQL不支持mysql?系统安装条件:如果您在 Linux 上运行,则必须确保:修改/etc/sysctl.conf 添加vm.max_map_count = 524288 不修改vm.max_map_count报错提示: 默认admin密码admin登录
Sonar实战详解
01-20
详细介绍sonar的各个模块以及相关用法,非常详细
sonar检查规则指南
12-18
sonar检查规则指南:最新整理出的最全的sonar规则指南!!!
看这里,全网最详细Sonar代码扫描平台搭建教程
最新发布
apex_eixl的博客
05-31 1768
sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 ​
Sonarlint中文使用手册
09-27
Sonarlint是一款强大的代码检测插件,用户可以IDE上实时检测自己的代码问题。本文详细介绍了Eclipse和Idea集成Sonarlint的步骤和使用方法
sonar汉化包等插件
10-25
sonar汉化包sonar汉化包sonar汉化包sonar汉化包sonar汉化包sonar汉化包sonar汉化包sonar汉化包sonar汉化包sonar汉化包sonar汉化包
静态代码扫描工具 Sonar 配置及使用
洛西纳的专栏
08-21 5739
静态代码扫描工具 Sonar 配置及使用
sonar使用
weixin_41533604的博客
09-29 6040
Sonar使用文档 说明 Sonar使用文档是为了方便开发人员在使用时更快上手. 本文档适用于SonarQube7.6版本. 简介 sonar, 全称sonarqube, 是一个开源的代码质量分析平台,便于管理代码的质量,通过SonarQube 我们可以检测出项目中重复的代码. 潜在BUG, 代码规范, 安全性漏洞等问题, 并通过SonarQube web UI展示出来, 同时, 它提供了丰富的插件,支持多种语言的检测, 如Java、Python、Groovy、C、C...
sonar入门:全网最全的概念解析与安装
小鲍侃java
04-07 5612
sonarqube sonarqube:是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码格式上的问题。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。同时也提供了可视化的管理页面 用于查看检测出的结果 同时sonarqube提供了一系列的规范 可以通过勾选从而设置在检测时是否使用。 sonarlint sonarlint是idea的插件 sonarlint本身也有检查的功能 可以在idea中检测代码 同时也可能在idea中配置检...
sonar是一款静态代码质量分析工具
包磊磊的博客
08-30 3758
sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言;而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告;sonar通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划- 分为5个等级;sonar设置了质量门,通过设置的质量门评定此次提交分析的项目代码是否达到了规定的要求;...
sonar-scanner.zip
08-05
本篇文章将详细介绍如何下载、配置SonarScanner,并进行本地扫描。 首先,我们来了解下SonarScanner的基础概念。SonarScanner通过分析源代码,提供详细的报告,指出潜在的问题,帮助开发团队提高代码质量和可维护性...
sonar的插件demo
03-14
下面将详细介绍这个插件及其开发过程。 首先,SonarQube的插件系统允许用户扩展其内置的静态代码分析功能。这些插件可以添加新的编程语言支持,或者提供特定于项目的规则和指标。"java-custom-rules"这个名字暗示了...
Hudson+Sonar+Maven+SVN详细集成介绍
04-07
Hudson+Sonar+Maven+SVN详细集成介绍
第三次作业
09-11 310
一、单元测试(unit testing),是指对软件中的最小可测试单元进行检查和验证。对于单元测试中单元的含义,一般来说,要根据实际情况去判定其具体含义,如C语言中单元指一个函数,Java里单元指一个类,图形化的软件中可以指一个窗口或一个菜单等。总的来说,单元就是人为规定的最小的被测功能模块。单元测试是在软件开发过程中要进行的最低级别的测试活动,软件的独立单元将在与程序的其他部分相...
SonarQube代码质量管理平台安装与使用
热门推荐
hunterno4的专栏
09-14 21万+
Sonar简介 Sonar是一个用于代码质量管理的开源平台,用于管理源代码的质量,可以从七个维度检测代码质量 通过插件形式,可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测 sonarQube能带来什么? Developers' Seven Deadly Sins 1.糟糕的复杂度分布
如何使用Sonar进行静态扫描(Windows系统)
qq_40631968的博客
04-22 1073
与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。1、在sonar 服务已经搭建,Jenkins所在主机可以正常访问的情况下,进到jenkins安装插件的界面,搜索“SonarQube Scanner”,安装好后重启Jenkins服务。
技术分享 | 静态扫描体系集成
hogwarts_ziqi的博客
09-21 442
FindBugs 是一个 Java 项目的静态代码扫描工具,它支持的项目类型包括 Maven,Grade,Ant等,可以在不运行程序的前提下对软件进行潜在 Bug 的分析,帮助团队在程序运行之前就最大程度发现隐藏较深的问题,提示的内容包含真正的权限和潜在可能发生的错误问题;****内容全面升级,5 个月 20+ 项目实战强化训练,资深测试架构师、开源项目作者亲授 **BAT 大厂前沿最佳实践,**本文节选自霍格沃兹测试开发学社内部教材。
kafka sonar
11-18
kafka sonar是一种代码质量管理工具,可以帮助开发人员分析和管理代码质量。下面是使用kafka sonar的步骤: 1.设置sonar服务,包括设置sonar.web.host、sonar.web.context、sonar.web.port等参数。 2.启动sonarQube web service。 3.找一个有源代码的项目,比如kafka项目,在项目的根目录添加一个配置文件sonar-project.properties,并设置sonar.projectKey、sonar.projectName、sonar.projectVersion、sonar.sources等参数。 4.进入kafka项目根目录,执行命令sonar-scanner。 5.成功后进入qb ui界面http://localhost:9000,可以看到多出一个kafka的项目列表。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值