测试左移——代码审计SonarQube 平台搭建

最新推荐文章于 2024-07-30 15:55:26 发布
最新推荐文章于 2024-07-30 15:55:26 发布
阅读量77 收藏
点赞数
分类专栏: 程序员 软件测试 自动化测试 文章标签: 功能测试 软件测试 程序人生 自动化测试 程序员 python 职场经验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wx17343624830/article/details/133798660
版权
软件测试 同时被 3 个专栏收录
3131 篇文章 41 订阅
订阅专栏
程序员
2779 篇文章 4 订阅
订阅专栏
自动化测试
2619 篇文章 15 订阅
订阅专栏

01 sonarqube代码分析技术体系

代码分析工具

IDE 辅助功能

  • xcode、android studio

  • 阿里巴巴 java 开发手册 ide 插件支持

独立的静态分析工具

  • spotbugs、findbugs、androidlint、scan-build、Checkstyle、FindSecBugs

  • pmd 阿里巴巴 java 开发手册 pmd 插件

综合性的代码分析平台

  • sonarqube 功能强大,数据分析全面

代码分析技术架构

代码静态检查

1、代码分析:通过分析语法树和源代码,检查代码规范

  • lint 系列 style 系列 pmd

  • antlr

2、编译器分析:借助于编译器获得代码关系

字节码静态分析

  • 分析 jar、war、dex 等格式的文件,代表工具:findbugs asm

语法树分析技术

图片

源代码

字节码分析技术 Java 与 Kotlin 源代码

图片

SonarQube

代码质量和安全的领先产品

17种语言的静态代码分析

检测Bug和漏洞

查看安全热点

跟踪代码气味并修复您的技术债务

代码质量度量和历史

CI/CD集成

可扩展,具有50多个社区插件

图片

代码分析主要指标

图片

代码分析细节指标

图片

度量指标总结

可靠性 bugs

可维护性 code smells

安全性 Vulnerabilities Security Hotspots

覆盖率 Coverage Unit Tests

代码重复 Duplications

代码规模 Lines of Code Comments rate

复杂度 Cyclomatic Complexity Cognitive Complexity

图片

案例分析

1、独立分析平台使用案例

图片

2、持续集成使用案例

图片

3、Sonarqube经典案例分析

图片

图片

图片

目前大部分公司都采用了 sonarqube,它的概念和技术指标已经成为行业事实上的标准

02 代码审计SonarQube平台搭建

sonarqube 技术架构

图片

正式环境部署

1.创建网络

2.创建数据库容器实例

  • -e POSTGRES_USER=sonarqube:设置数据库用户名

  • -e POSTGRES_PASSWORD=sonarqube:设置数据库密码

  • -e PGDATA=/var/lib/postgresql/data/pgdata:指定数据库的位置

  • -v $PWD/postgresql_data:/var/lib/postgresql/data:把数据映射到当前目录下的postgresql_data中:即使容器销毁了,重新创建一个,数据不会丢

图片

3、创建sonarqube容器实例

创建sonarqube容器实例,可以通过-Xms4g -Xmx4g增加下ES的堆内存大小

mac环境需要加 -e SONAR_SEARCH_JAVAADDITIONALOPTS=“-Dbootstrap.system_call_filter=false”

  • platform linux/x86_64:在mac上需要加这条命令

  • -e SONARQUBE_JDBC_USERNAME=sonarqube

  • -e SONARQUBE_JDBC_PASSWORD=sonarqube \:设置数据库的用户名和密码

  • -v $PWD/sonarqube_data:/opt/sonarqube/data

  • -v $PWD/sonarqube_extensions:/opt/sonarqube/extensions

  • -v $PWD/sonarqube_logs:/opt/sonarqube/logs \:宿主机和容器映射

图片

4、检查容器启动成功

[root@mylinux1 ~]# docker ps

CONTAINER ID   IMAGE                       COMMAND                   CREATED              STATUS              PORTS                                                                                  NAMES

de81187b3504   sonarqube:8.9.2-community   "bin/run.sh bin/sona…"   About a minute ago   Up About a minute   0.0.0.0:9000->9000/tcp, :::9000->9000/tcp, 0.0.0.0:9092->9092/tcp, :::9092->9092/tcp   sonarqube_hogwarts

532e9ed4212d   postgres                    "docker-entrypoint.s…"   9 minutes ago        Up 9 minutes        5432/tcp                                                                               sonarqube_postgres

60ed0289df5b   registry:2                  "/entrypoint.sh /etc…"   4 months ago         Up 42 hours         0.0.0.0:5000->5000/tcp, :::5000->5000/tcp  

5、环境配置

默认账号 admin:admin

生成 token

划分组与用户

登录页面

图片

首页

图片

  • projects:项目列表(大部分项目是自动创建)

  • issues:发现的问题

  • rules:制定的规则

  • quality profiles::定制规则

  • quality gates:质量门禁

  • administration:管理

6、环境变量设置

为了方便命令复用,后面命令中可变内容使用环境变量来表示 $SQ_HOST

图片

最后:下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取【保证100%免费】

软件测试面试文档

我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。

爱吃 香菜
关注
专栏目录
测试创新——测试左移最大化QA的价值
我的E家
06-06 425
如何巧借测试左移,来最大化QA的价值?
测试左移Sonarqube maven项目分析
hogwarts_beibei的博客
05-07 124
本文节选自霍格沃兹测试学院内部教材 如果你不想在每个项目中配置 sonar 的信息,你可以在全局配置文件中配置 sonar 的通用信息。 全局配置 $MAVEN_HOME/conf 或者~/.m2 路径下的 settings.xml 因为有的时候需要分布式编译,其实不太推荐全局配置这种方式。 <settings> <pluginGroups> <pluginGroup>org.sonarsource.scanner.maven&l.
SonarQube架构及使用介绍
热门推荐
skyunlin的专栏
02-16 1万+
SonarQube构架SonarQube框架包含以下四个部分: Project SonarQube Scanner SonarQube Server SonarQube Database Project是需要被分析的源码,如我们的app工程源码,SonarQube支持多种语言和多种工程结构,Andriod是属于一种多模块的java工程。 SonarQube Scanner是用于执行代码分析的工具,
软件测试 | Sonarqube架构
慕漓的博客
03-07 165
3、支持25+编程语言的代码扫描和分析,包含java\python\C#\javascript\go\C++等。​ 代码扫描和分析完成之后,会将扫描结果存储到数据库当中,在sonarQube平台可以看到扫描数据。2、多维度分析代码:代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。通过定义好的 代码质量和安全规则,对开发人员编写的代码进行扫描和分析。将分析的结果多维护的呈现出来,以方便开发人员进行代码的优化和规范编写。4、涵盖了编程语言的静态扫描规则: 代码编写规范+安全规范。
Linux安装SonarQube代码检查平台与Sonar-Scanner代码扫描工具
最新发布
qq_45963597的博客
07-30 832
进入到sonar的Plugins文件中:sonar的安装目录/extensions/plugins下,然后重启SonarQube。Tips:如果发现web启动不了,首先先确认下9000端口开没开,开端口和关闭防火墙,你需要选择一个。还是启动不了的情况下,去查看sonarqube目录下的logs目录里的日志文件,查看报错信息,运行SonarQube 的唯一先决条件是在您的机器上安装 Java(Oracle JRE 11 或 OpenJDK 11)。重新上传取消正在上传…重新上传取消正在上传…
sonarqube整体框架
qq_18816009的博客
05-16 741
sonar代码架构
sonarqube简介+架构+搭建+不同语言详细用法
biwenjun999的博客
06-13 9375
SonarQube 一,简介 Sonar 是一个很优秀的代码分析工具,可以帮助程序员们发现很多潜在的问题和BUG。 Sonar可以从以下七个维度检测代码质量。 1. 不遵循代码标准 sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具规范代码编写。 2. 潜在的缺陷 sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具检测出潜在的缺陷。 3. 糟糕的复杂度分布 文件、类、方法等,如果复杂度过高将难以改变,这会...
测试左移之代码评审
01-27
测试左移之代码评审】 测试左移是一种软件开发策略,旨在将质量保证活动提前到开发过程的早期阶段,以尽早发现和修复问题,降低后期修复成本。代码评审是实现测试左移的重要手段之一,通常由开发团队成员互相审查...
测试左移学习文档ppt
08-07
5. **自动化测试**:左移测试通常与自动化测试相结合,利用单元测试、集成测试等自动化工具,在代码编写阶段就开始验证功能。 6. **持续集成**:通过将测试集成到持续集成流程中,每次代码变更都会触发自动测试,...
SonarQube
没有简介
12-08 533
Sonar是一个用于代码质量管理的开源平台,用于管理Java源代码的质量。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。 此外,Sonar 的插件还可以对 Java 以外的其
gitlab+jenkins+sonar架构
10-07
gitlab+jenkins+sonar搭建, 以及做综合代码质量分析手册
代码质量管理平台 SonarQube 社区版搭建及 C 代码分析
王清欢的博客
01-31 6835
本文介绍如何在 CentOS 环境下搭建代码质量管理平台 SonarQube 社区版,并使用 PostgreSQL 数据库作为其后端数据库;同时,详细说明了如何配置 SonarQube 并使用 sonar-cxx 开源插件进行 C 语言系列项目的静态代码分析。
SonarQube基础介绍与在代码检测中的应用
qq_21007209的博客
03-16 1379
官网描述: SonarQube 提高您的团队成员的代码质量和安全性,使所有开发人员能够编写更干净、更安全的代码。官网地址:帮助文档:Q: SonarQube 是什么?答: SonarQube 是一个开源的代码质量管理平台系统,用于检测各类开发语言(例如: java、php、python、html、C、C#、Groovy)代码中的错误,漏洞和代码规范;并且现在它可以与现有的Gitlab、Jenkins进行集成,以便在项目拉取后进行连续的代码质量检查;Q: SonarQube 有何用处?
sonarqube 初探
huaqiangli的博客
12-05 874
Table of Contents 快速搭建一个sonarqube服务 创建docker-compose.yml文件 启动容器服务 访问sonarqube web 访问数据库 项目中集成sonarqube maven 项目集成sonarqube ant 项目集成 soanrqube gradle项目集成sonarqube 项目直接使用sonar-scan Jenkins...
SonarQube 安装及使用
顺其自然~专栏
12-15 1345
SonarQube是一款用于代码质量管理的开源工具,是静态代码检查工具,采用 B/S 架构它主要用于管理源代码的质量,可以支持众多计算机语言,比如 php,java, C#, go,C/C++, Cobol, JavaScrip, Groovy 等。sonar 可以通过 PMD,CheckStyle,Findbugs 等等代码规则检测工具来检测你的代码,帮助你发现代码的漏洞,Bug,异味等信息。可以从七个维度检测代码质量:1)复杂度分布(complexity):代码复杂度过高将难以理解。
SonarQube代码质量管理
架构师的成长之路的博客
06-06 1229
SonarQube代码质量管理一、SonarQube的介绍SonarQube是一个管理代码质量的开放平台。可以从七个维度检测代码质量(为什么要用SonarQube):1、复杂度分布(complexity):代码复杂度过高将难以理解、难以维护 2、重复代码(duplications):程序中包含大量复制粘贴的代码是质量低下的表现 3、单元测试(unit tests):统计并展示单元测试覆盖率 4、编...
Java项目集成SonarQube代码审查
程序员云帆哥的博客
11-24 1543
SonarQube是一种自动代码审查工具,用于检测代码中的错误、漏洞和代码异味。它可以与您现有的工作流程集成,以支持跨项目分支和拉取请求的持续代码检查。
sonarqube自定义规则
l1477026345的博客
11-29 667
比如这两个词 startIndex,endIndex,开始的下标,结束的下标,两个值的差值是token、firstToken().text()的长度,那么这个下标用在了哪里,怎么用?if(tree.kind().equals(Kind))或者tree.is(Kind...)判断tree代表的代码段是不是对应的情形。有以上的发现,加上一些其他的网络资料,有一个设想,token是在文件中读出来的字符串是可以根据下标在某个字符串中截取的。看了以前的代码,通过断点调试,方法中的tree参数用处大多是这样;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值