西南中国sonarqube教程来电咨询「在线咨询」

SonarSource

使用 SonarQube 的更广泛的影响和机会

除了扫描之外, 一些组织看到的一个有趣的结果是, 个人

开始对 SonarQube 提供的信息采取行动, 以改变和改善其

关于质量代码创建的行为。一些团队已经开始参与--

甚至兴奋-关于去和检查的因素, 如测试代码覆盖率, 并已能够

大大提高。董事们使用了 SonarQube 的有关规则违规的信息

教育团队如何改变不良习惯以改进代码的创建。所以一个关键的结果

SonarQube 在这些组织使用的机会, 鼓励, 甚至推动

正确的行为。

一些组织通过强制将度量与构建集成在一起来帮助实现

和释放过程。这意味着必须满足某些标准, 以允许生成和

发布过程向前迈进。虽然你不能强迫人们普遍看待不良的结果,

当项目截止时间和软件发布日期出现下滑时, 有机会使用

具有特定数据点和基准的工程经理了解

以前的工作。(组织这样做是明智的, 他们在制定的标准

停止生成和发布过程。

总的来说, 一个实实在在的好处是测试覆盖率翻了一番, 一些测试

使用 SonarQube 的组件团队。一些组织已经观察到测试团队的覆盖率

单元测试的4-5 时间的增加, 以及那些的***和严谨的改进

使用 SonarQube 完成单元测试。这反过来又有助于驱动精que的基准

团队的进步伴随着更高质量的代码的交付。

简而言之, SonarQube 可以为基本代码分析提供一个单一的点, 其中用户来自

开发人员可以去看看他们需要知道什么来帮助提高代码质量,

可能与代码评审工具集成, 以便在仪表板中包含代码评审指标。

SonarQube 的挑战

SonarSource 的关键挑战之一是让企业相信投资回报率的好处

实现和使用代码分析解决方案。在这方面的问题的一部分是, 它的

在许多公司的时候, 组织要理解长期利益是有挑战性的

正在寻求快速的、迭代的部署。因此, 重要的是要了解长期利益

在代码的有效期内, 而不仅仅是短期的优势 (这是

在他们自己的方式显着, 但不是战略)。产品的演变, 以解决功能

诸如影响分析和跨平台分析等功能也是

SonarSource 需要集中, 根据客户。与代码审查工具的集成也

被提及作为未来焦点的区域。

SonarSource 的小规模可能是企业部署决策采用的一个障碍。但是,

事实上, 基本产品是开源的, 通常跳转开始采用的初始使用, 并

也为企业使用商业产品提供了一些保证。企业

在更大的部署中显示采用 SonarQube 的客户也有助于

让那些担心产品组合的能力被广泛采用的人打消疑虑。

如何使用 SonarQube 改进工作流

twitter作为开发人员, 我不得不多次修复生产环境中的问题。有时, 我在代码之前没有看到任何错误, 而在其他时间, 我花了很多时间试图理解别人写的代码-更糟的是, 我把代码放到生产中, 在几个月后发现了安全漏洞。

很可能你也面对过这种情况。因此, 有一个工具, 可以帮助您在早期阶段检测到它们, 岂不是很棒吗？SonarQube 使这成为可能。在这篇文章中, 您将了解它如何帮助您清理代码并防止将来出现问题。

SonarQube 入门SonarQube 是一个开放源码的质量管理平台, 致力于不断分析和测量技术质量, 从***早的计划阶段到生产。通过将静态和动态分析工具结合在一起, SonarQube 连续监视七轴上的代码, 如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。服务包括开发、技术支持、咨询和培训,旨在帮助企业获得长期利益。

SonarQube 是一种用于主要编程语言的代码分析器, 如 c/c++、JavaScript、Java、c#、PHP 或 Python, 等等。通常, 应用程序同时使用多种编程语言, 例如: Java、JavaScript 和 HTML 的组合。软件质量数据必须同时提供绝dui(在所有代码)和差异(新的代码)值,以便开发团队可以完全控制问题的传入流程。SonarQube 自动检测这些语言并调用相应的分析器。

SonarQube 现在是 Bitnami 目录的一部分。您可以***或推出它与我们准备使用的云图像只需几次点击和开始使用它在您的所有项目。利用 Bitnami 图像的特点: 安全、***xin、优化、一致等。

玩 SonarQube在这个 GitHub 的项目中, 您将找到一个用 JavaScript 编写的代码示例。目标: 向您展示如何将 SonarQube 合并到您的开发工作流中。更重要的是,它背离了基于数学模型,使其能够产生控制流的评估,对应于程序员的直觉的精神,或认知的努力,需要了解这些流动。存储库包含两个主文件夹 (源和测试), 这样, 您就可以知道测试所涵盖的代码的百分比。

这个项目还包括一个声纳工程. 属性文件, 其中有一些配置参数需要配置 SonarQube, 如用户名, 密码, 语言等。

运行

$ 声纳-扫描仪在项目文件夹内, 这样就启动了第yi个扫描仪, 您可以在 web 界面中检查结果。

第yi次扫描

正如您在上面的截图中所看到的, 当前的代码有零 bug、零漏洞和六代码的气味。

我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的, 但是在日常的工作中, 这样的问题会在你没有意识到的情况下出现。

添加错误

再次运行扫描仪使用

$ 声纳-扫描仪如预期的那样, 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:

比较扫描

屏幕右侧将出现一个新节 (以黄色高亮显示)。SonarQube 处理两种状态: 当前状态 (以白色表示) 和***xin更改。正如您在截图中所看到的, 上次扫描中引入的更改增加了一个 bug 和一个漏洞。SonarQube 评估每个部分的质量, 评分基于不同的参数, 一个是***jia状态。持续:通过保持简洁的代码体系结构和增加的单元测试,SonarQube平台通过减少代码中的复杂性、重复性和潜在bug,大大提高了应用程序的使用寿命。在这种情况下, 引入 bug 导致 "bug" 部分从 a 传递到 C, "漏洞" 部分从 a 到 B。

您可以设置 "泄漏期间" 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。

让我们详细地看看 "覆盖率" 一节: 38.1% 是***测试覆盖率 (正如您在 GitHub 存储库中看到的那样, 我对某些文件进行了测试, 但对于所有的文档都没有)。在黄色部分, 您可以看到新添加的行的覆盖率。以前, 为了添加错误, 我引入了一些新行, 但我没有为这些新行创建任何测试, 因此新的测试覆盖率为0%。SonarSource结论由SonarSource设计和实现,内部质量连续检测是一个整体,完全实现的过程,旨在使代码质量成为软件开发生命的一个组成部分循环并提高其在整个生命周期中的所有利益干系人的可见性。此外, 点击覆盖范围, 我可以看到更多的信息的覆盖面, 例如: 覆盖的文件, 覆盖线的数量, 等等。

错误信息

通过这种快速而简单的分析 (您只需执行一个命令), 您将能够防止出现在生产环境中的错误, 使代码保持安全并遵守***jia做法和质量标准。在下面的迭代中, 我将致力于实现零 bug、漏洞和代码气味的目标。我还可以在测试中得到100% 的代码。连续检测是一种新的软件质量模型,它包含较短的反馈回路确保快速解决质量问题。一旦我的代码处于这种状态, 就很容易看出所做的更改是否引入了某种错误或坏的做法。

如何挤压 SonarQube正如您在上一节中看到的, 保持代码的良好状态非常简单。但是, 还有更多的发现。SonarQube 有很多很酷的集成。

分析方法可以在下列分析方法之间进行选择:

用于 MSBuild 的 SonarQube 扫描仪:. Net 项目的启动分析SonarQube 扫描器: maven 的启动分析和***xiao配置SonarQube 扫描器 Gradle: 发射 Gradle 分析蚂蚁 SonarQube 扫描器: 蚂蚁发射分析詹金斯 SonarQube 扫描仪: 詹金斯发射分析SonarQube 扫描仪: 当其他分析器都不合适时, 从命令行启动分析插件另外, SonarQube 有一个更新中心与各种各样的插件组织入不同的类别, 一些有用的插件是:

代码分析器

SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成

GitHub 插件: 分析拉请求, 并指出问题作为评论。谷歌分析: 将 google 分析跟踪脚本添加到 SonarQube 的 web 应用程序中。单片机引擎

善变的: 增加对善变的支持。git: 添加对 git 的支持。SVN: 添加对 Subversion 的支持。身份验证和授权

GitHub 身份验证: 通过 GitHub 启用用户身份验证和单一登录。GitLab 身份验证: 通过 GitLab 启用用户身份验证和单一登录。谷歌认证: 启用用户身份验证授权到谷歌。读过这篇文章后, 你可能想尝试 SonarQube, 看看它是如何融入你的日常工作的。软件质量要求必须尽可能多地与所有软件产品共同,无论他们的细节。您可以直接从 Bitnami 目录***或启动它。

快乐 (和安全) 编码!

如果您想知道项目使用的内部或外部库，则可能需要查看项目的内容，包括pom.xml文件。如果您使用SonarQube，则不再是这种情况，因为库是一种组件，它会招募您的应用程序所依赖的组件，并且比手动搜索***。

（以上是示例应用程序的截图）

也可以在任何仪表板上添加任何Widget（Widget是组成仪表板的组件），如下所示。

问题向下钻

只是被告知某事是错误的，这里的分数是多少错误或不正确的东西，没有帮助。一个更有建设性的反馈是，这里有什么问题，这是你可以做些什么来解决它。

问题钻取是一个这样的仪表板，我们可以找到这样的信息或足以知道什么是错误，以及如何去修复它（有时）。它还存档较旧的和封闭的问题，并通过给出各种严重程度来表明问题是多么糟糕，即阻止信息。

（以上是nemo.sonarsource.org上的示例应用程序的截图）

任何Dashboard页面右上角的“管理信息中心”选项（如下）用于创建可以放置小部件的新的信息中心页面。

同样，每个“仪表板”页面上的“配置”窗口小部件链接允许在“仪表板”页面的任何位置添加，删除或更改窗口小部件的位置。

（以上是Apache Comm*** Collection的截图）

标签或词云是一种非常受欢迎的概念，被大量用作可视化形式来传达指标 - 如上所示，这是Apache Comm*** Collection库的一个例证。

商业组件 - SQALE

SQALE是一个专有组件，社区版本不可用，尽管SonarQube的Nemo项目[07]提供了演示版本。 SQALE是一项技术债wu评估工具，更多细节可以在[08]找到。