伞源科技Pinpoint和sonarQube对比

已于 2023-07-12 14:37:04 修改
阅读量656 收藏
点赞数
文章标签: 科技 java
于 2022-06-09 16:49:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanbingquan/article/details/125206380
版权

源伞科技Pinpoint和sonarQube对比

测试背景

使用工具:
  • 源伞科技Pinpoint
  • Sonarqube
测试项目:
  • 本地测试框架项目两个文件
    文件1:AsyncHttpClientUtil.java
    文件2:FileUtil.java

测试结果汇总

数据统计:
  • 源伞科技Pinpoint结果:
    • 文件1:
      • 严重:14
      • 中等:2
    • 文件2:
      • 严重:8
      • 中等:1
  • SonarQube结果:
    • 文件1:
      • 严重:13
    • 文件2:
      • 严重:18
      • 一般:4
      • 建议:1

测试细节:

  • 1、数量:
    • 从数量看,Pinpoint较SonarQube结果数量少。
  • 2、安全隐患:

    • SonarQube报告包括

      • 5处空指针异常,
      • 4处无引用方法,
      • 两处““InterruptedException” should not be ignored”问题,
      • 1处注释问题,1处“Utility classes should not have public constructors”问题。
      • 13处用日志记录代替标准输出问题
      • 1处导致资源泄漏问题
      • 1处字符串文本不应重复
      • 1处 Try-with-resources should be used
      • 1处 工具类不应该有公共构造函数,工具类不宜实例化,且应有一个私有构造方法。
      • 2处 可合并的“if”语句应该合并。

    • Pinpoint报告

      • 9处空指针,
      • 5处返回null给函数调用者,
      • 2处函数 instanceof<java.lang.Exception> 的返回值没有被检查
      • 1处创建了一个java.io.BufferedReader类的对象
      • 2处if else分支问题
      • 1处导致资源泄漏问题
      • 2处 在util.FileUtil.readerFile(String)中找到对默认编码的依赖:new java.io.InputStreamReader(InputStream)
      • 1处 util.FileUtil.readerFile(String)在循环中使用+连接字符串

主要结论:

  • 从报告总量上SonarQube比Pinpoint数量多,但是无效问题居多,多出的问题一般是代码规范问题。(本次两款软件均采用默认级别扫描。 )
  • SonarQube报告的4处无引用方法、2处注释问题、13处打印输出问题、2处合并if问题,并不影响程序执行,而Pinpoint每个报告都是需要去查看修改。
  • Pinpoint 规则里可以判断程序中出现的条件判断语句问题,发现该问题2处。而且支持跨函数和跨文件扫描,发现该问题一处。(这两种问题sonar扫描不到)
  • Pinpoint和SonarQube关注点有区别,sonar关注于代码规范,Pinpoint更关注与代码错误,且有效问题较高。
  • sonar开源支持语言比PinPoint多,规则也可以选择。
  • 个人观点:sonar适合开发日常自检,Pinpoint适合验收检测。

相关数据支撑资料已发布在在csdn

明天是spring
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
qt自带静态代码检测工具_两款静态代码检测工具的对比
weixin_36488777的博客
01-27 1402
测试背景使用工具:源伞科技Pinpoint Sonarqube 测试项目:开源国产CMS软件iBase4J(6000行代码) 测试结果汇总数据统计:SonarQube结果: 代码错误 安全隐患 风格质量 总量 有效/总量 2/6 4/4 0/93 6/103 ...
自动化代码审计工具源伞科技Pinpoint
SourceBrella的博客
01-21 2018
自动化代码审计工具源伞科技Pinpoint介绍 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺...
国产代码审计工具Pinpoint介绍
SourceBrella的博客
02-03 4147
硬核国产代码审计工具Pinpoint介绍 简介 Pinpoint是由国内源伞科技所研制的一款静态代码审计工具,源伞科技公司是香港科技大学安全实验室的众多博士创建的,产品集成了实验室多年的研究成果,在众多国际顶级学术会议上都发表了成果论文,在学术界有很大的影响。近几年源伞科技将静态代码检测产品Pinpoint成功商业化,目前产品已经比较成熟,能够方便的集成各种安全开发流程,操作界面流畅。能够直接扫描...
Sonarqube - “InterruptedException“ should not be ignored
牧码的博客
01-28 6356
解决方案 log.error("InterruptedException: ", e); Thread.currentThread().interrupt(); Ps:这里主要对第二行代码解释,平时我们应该没这个习惯来写该行代码。 中断线程 线程的thread.interrupt()方法是中断线程,将会设置该线程的中断状态位,即设置为true,中断的结果线程是死亡、还是等待新的任务或是继续运行至下一步,就取决于这个程序本身。线程会不时地检测这个中断标示位,以判断线程是否应该被中断(中断标示值.
Checkmarx与Sonarqube的比较
jimmyleeee的专栏
02-09 2443
Checkmarx是一款SAST,主要扫描安全问题和最佳实践的问题;SonarQube主要是扫描代码质量和最贱实践问题,最近也添加了一些安全规则的扫描的支持。下面是比较两款工具的主要参数的不同点,仅供参考。 类型 参数 Checkmarx Sonarqube 基本功能 支持语言 JavaScript,Java,PHP,Python,Swift,Go,Apex,Scala,.Net,C,C++,Android,Ruby,Perl,Groovy,PL/SQL, Asp.
代码质量管理工具:SonarQube常见的问题及正确解决方案
极客编程的专栏
03-06 2175
SonarQube 简介 Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具。 与持续集成工具(例如 Hu...
几款Java源码扫描工具(FindBugs、PMD、SonarQube、Fortify、WebInspect)
没刮胡子的程序员专栏
11-23 7168
几款Java源码扫描工具FindBugs、PMD、SonarQube、Fortify、WebInspect
伞源科技PinpointsonarQube对比资料
06-09
【标题】:“伞源科技PinpointsonarQube对比资料” 在IT行业中,软件质量保障是至关重要的,而PinpointSonarQube正是两个备受关注的工具,分别在性能监控和代码质量管理方面有着独特的优势。这篇资料将对两者...
271760513/pinpoint:2.3.3 pinpoint 探针使用
10-21
pinpoint 探针,docker镜像 271760513/pinpoint:2.3.3 使用
zipKin和pinPoint比较.docx
11-14
zipkin为分布式链路调用监控系统,聚合各业务...pinpoint是开源在github上的一款APM监控工具,它是用Java编写的,用于大规模分布式系统监控。它对性能的影响最小(只增加约3%资源利用率),安装agent是无侵入式的。
pinpoint二次开发.pptx
12-19
Pinpoint 的开发需要基于字节码增强技术,掌握 Pinpoint 的模型结构和组件介绍,对 Pinpoint 的二次开发非常重要。 Pinpoint 是一个功能强大且灵活的 APM 工具,其二次开发可以满足不同企业的个性化需求。
比较 9 种代码质量工具-零代码工具推荐
weixin_56863624的博客
03-15 712
允许您对软件项目运行静态分析,并为您提供代码质量报告,其中包括检测到的问题的热图,这有助于您可视化导致臭代码的确切组件。它还吹嘘自己是支持 AI 的,为您提供解决静态分析器发现的问题的建议,几乎就像代码的自动更正一样。它对开源项目免费提供。是一款简单、易于设置和维护的代码质量和安全分析工具,是一款面向开源项目的免费产品和面向大型组织的自托管企业版,让开发人员兴奋不已的产品。是一种静态分析工具,它通过测试智能地运行您的代码,帮助您找出关键领域的问题,例如性能、反模式、错误风险、安全漏洞、样式和文档问题。
(一)pinpoint笔记:Debug跟踪pinpoint项目的agent运行代码过程笔记
Jomly Kellenda的博客
03-19 2421
一、maven打包agent,install之后的zip解压,被检测项目的tomcat环境变量Arguments中加入代码-javaagent:D:\APM\pinpoint-agent-1.6.0\pinpoint-bootstrap-1.6.0.jar -Dpinpoint.agentId=test_web_local -Dpinpoint.applicationName=test_web_...
应用监控预警--Pinpoint介绍
热门推荐
写个代码 扯个闲淡
06-30 4万+
转自:https://skyao.gitbooks.io/learning-pinpoint/content/introduction/data.html Pinpoint 翻译自 Pinpoint 的 github 首页内容 介绍 Pinpoint是一个开源的 APM (Application Performance Management/应用性能管理)工
Pinpoint详解(分布式链路追踪、链路监控)
junior77的专栏
06-08 1万+
英文原文:https://naver.github.io/pinpoint/1.8.4/techdetail.html 说明:【】中内容为方便解释自己加的 在这篇文章中,我们描述了Pinpoint的技术细节比如请求追踪(transaction tracing)和字节码插装(bytecode instrumentation),同时说明了应用于Pinpoint agent中的优化方法,它可以修改字节码并记录性能数据。 分布式事务追踪,基于Google的Dapper 基于Google的Dapper,Pinp
APM监控--(五)pinpoint使用手册
ESOO
04-09 1万+
最近在使用pinpoint进行应用监控,发现网上对安装介绍的很详细,但是如何使用介绍的不是非常好,特别整理一篇使用手册,供广大网友学习,如有不通看法,请评论区交流。0.    前提条件•    请参考接入《APM监控--(二)Pinpoint部署手册》pinpoint1.    查看调用关系1.1 访问地址http://yoururl1.2 选择应用默认两层展示调整层级深度:示例为前端调用4层追溯...
5 款阿里常用代码检测工具,免费用!
阿里巴巴云原生的博客
09-09 1096
作者 | 喻阳 面临问题 在日常研发过程中,我们通常面临的代码资产问题主要分为两大类:代码质量问题和代码安全漏洞。 1、代码质量问题 代码质量其实是一个老生常谈的话题,但问题是大家都知道它很重要,却又不知道如何去提升和维护这一团队的共同财产。一方面开发人员可能为了功能及时上线,疏忽了对质量的把控,另一方面开发人员编码习惯和程序理解风格各异。 长期下来代码质量下降通常会自成因果,因为业务压力大而趋于下降,又因此开发效率下降,进一步加大业务压力,导致恶性循环。 2、代码安全问题 安全类问题往往隐藏在缺乏安全意识
百分点科技获2024数字中国创新大赛·数据要素赛道最佳创新应用奖
最新发布
Percent_bigdata的博客
07-16 365
利用多种前端展示方式实现城市安全风险的综合监测、预警研判和联动处置,实现“一图观全域、一网治风险、一屏辅决策”,提升城市综合防灾减灾能力,为城市安全发展提供坚实保障。以某市的城市安全大脑项目为例,百分点科技充分结合该市现有信息化基础,搭建“城市安全大脑”数字赋能中枢,建设数据中台、算法中台、应用支撑平台、时空信息平台、城市感知平台及安全中台,同时搭建统一门户进行服务能力的集中展示与申请调用管理,对外提供数据、算法、物联、时空、安全、应用等方面的共性支撑服务,赋能城市运行管理平台。荣获数据要素X应用赛题。
Pinpoint分布式安装部署指南:Hadoop+Zookeeper+Hbase集群
"本文档详细介绍了如何在Hadoop、Zookeeper和Hbase集群上部署Pinpoint,这是一个强大的开源APM工具,用于监控大规模分布式系统的性能。Pinpoint通过字节码增强技术实现对Java应用程序的无侵入式监控,提供分布式事务...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值