西南代理商sonarqube教程***「华克斯」

SonarSource

提高应用价值, 降低软件开发风险

成功的组织在过程中向前移动质量分析并使其迭代

作为整个软件开发生命周期的一部分。开发和测试世界和业务

方法以及正在向敏捷模型演进-持续的价值生成/连续

改进/连续检验是提高质量的重要战略。这些都是

IDC 为 end-user 客户和服务提供商所观察到的关键策略:

?传统的代码质量方法通常在测试成为检查表项时失败

在开发过程结束时, QA 团队运行一个工具并返回

开发团队在软件进入之前需要采取的行动列表

生产.这可能导致延迟和预算超支。所以会发生什么

经常是管理标志移动项目, 没有质量门

发展.

?在项目开始时从项目代码分析中收集适当的度量标准

是至关重要的。如果没有正确的度量标准 (或任何度量标准), 代码库可能会在没有人注意的情况下恶化, 或者在技术债wu达到一定的时候才会注意到

在时间和预算限制的情况下, 成本太高而无法解决的级别。收集

代码度量连续可以提供可见性, 并使团队的优势

控制代码库的技术债wu。

?理解要修复的代码也是***的。通常, 团队开始重构

因为他们认为代码库在性能、脆性、不稳定性方面是不好的,

难于维护和扩展。但如果没有正确的语境分析, 它是

无法检测到代码库的哪个部分负责所遇到的问题。

因此, 更改可能会应用到错误的代码, 或者正确的代码被重构

错误的方式, 或只有部分问题得到解决。这是一个度量和工具的领域

可以通过标识导致问题的代码部分来帮助。

确保持续的软件质量是成功的关键

end-user 公司和服务组织都必须运行软件开发作为

业务.这样做的一部分是管理软件的远程可维护性, 即

发展今天你需要保持明天。积极主动的架构, 也

所创建内容的质量是管理软件长期支出的关键

维护;保存错误的、结构较差的软件是更昂贵的。

在这方面, 应用程序维护团队还需要对软件进行可视化, 以便能够更好地

维护代码以降低成本, 实现更好的质量, 并提高客户响应能力

和 ROI。在将任何代码发送到客户之前, 为代码建立一致的进程

分析可以帮助确保必须运行软件的公司的长期改进

有效地发展。

SONARSOURCE 和 SONARQUBE 平台

SonarSource: 介绍

SonarSource 是一家瑞士公司, 成立于2008年。该公司诞生的愿望

处理和解决与软件质量相关的不断增长的问题, 并为市场带来解决方案

可以跟踪的软件开发过程中的代码质量。在竞争激烈的市场中

来自少数提供商的服务, SonarSource 的投资组合是由它的根在开放的区别

来源, 其可访问性, 和一系列的参与选项从包装和定价

角度.

SonarQube 平台被创造了并且采取了到市场 (***作为 "声纳"), 与 SonarSource

在2009年10月发布该平台的第yi个商业插件。到 2010年3月,

SonarSource 开始看到社区和企业都接受了 SonarQube 平台,

到那时, 一个月被***超过2000次。在 2010年5月, SonarSource

发布的 COBOL 和 Visual Basic plug-ins, 随后几个月后由一个 SQALE 插件,

c# 插件 (2011年6月) 和 PL/SQL 插件 (2011年9月)。

该公司的主要意图是带来负担得起的和直观的质量解决方案和分析

开发人员还提供了广泛、分布式使用的功能。今天, SonarSource 有

***约有350客户, 包括德意志银行、美国银行、米其林、

西班牙、法国巴黎银行、泰雷兹和 EADs。SonarQube 平台使用约300

客户, 与3万和4万安装。该公司已看到的

在过去几年的增长, 它现在雇用了超过30员工, 从20人

就在12月前

如何使用 SonarQube 改进工作流

twitter作为开发人员, 我不得不多次修复生产环境中的问题。有时, 我在代码之前没有看到任何错误, 而在其他时间, 我花了很多时间试图理解别人写的代码-更糟的是, 我把代码放到生产中, 在几个月后发现了安全漏洞。

很可能你也面对过这种情况。因此, 有一个工具, 可以帮助您在早期阶段检测到它们, 岂不是很棒吗？SonarQube 使这成为可能。在这篇文章中, 您将了解它如何帮助您清理代码并防止将来出现问题。

SonarQube 入门SonarQube 是一个开放源码的质量管理平台, 致力于不断分析和测量技术质量, 从***早的计划阶段到生产。这意味着水平软件产品的可维护性今天将决定其成本责任的水平明天。通过将静态和动态分析工具结合在一起, SonarQube 连续监视七轴上的代码, 如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。

SonarQube 是一种用于主要编程语言的代码分析器, 如 c/c++、JavaScript、Java、c#、PHP 或 Python, 等等。通常, 应用程序同时使用多种编程语言, 例如: Java、JavaScript 和 HTML 的组合。虽然可能需要进行此类更改,但由准时审核产生的行动计划在过程中定义得太晚,无法做任何事情,但会打乱开发周期。SonarQube 自动检测这些语言并调用相应的分析器。

SonarQube 现在是 Bitnami 目录的一部分。您可以***或推出它与我们准备使用的云图像只需几次点击和开始使用它在您的所有项目。利用 Bitnami 图像的特点: 安全、***xin、优化、一致等。

玩 SonarQube在这个 GitHub 的项目中, 您将找到一个用 JavaScript 编写的代码示例。目标: 向您展示如何将 SonarQube 合并到您的开发工作流中。这是幸运的SonarSource的一个高优先级,虽然它不会被宣布时,它将船舶。存储库包含两个主文件夹 (源和测试), 这样, 您就可以知道测试所涵盖的代码的百分比。

这个项目还包括一个声纳工程. 属性文件, 其中有一些配置参数需要配置 SonarQube, 如用户名, 密码, 语言等。

运行

$ 声纳-扫描仪在项目文件夹内, 这样就启动了第yi个扫描仪, 您可以在 web 界面中检查结果。

第yi次扫描

正如您在上面的截图中所看到的, 当前的代码有零 bug、零漏洞和六代码的气味。

我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的, 但是在日常的工作中, 这样的问题会在你没有意识到的情况下出现。

添加错误

再次运行扫描仪使用

$ 声纳-扫描仪如预期的那样, 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:

比较扫描

屏幕右侧将出现一个新节 (以黄色高亮显示)。SonarQube 处理两种状态: 当前状态 (以白色表示) 和***xin更改。正如您在截图中所看到的, 上次扫描中引入的更改增加了一个 bug 和一个漏洞。无论是通过推还是拉,在注入新的质量缺陷时,都必须提醒利益干系人,无论这是通过发送电子邮件,打破了构建或其他方法。SonarQube 评估每个部分的质量, 评分基于不同的参数, 一个是***jia状态。在这种情况下, 引入 bug 导致 "bug" 部分从 a 传递到 C, "漏洞" 部分从 a 到 B。

您可以设置 "泄漏期间" 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。

让我们详细地看看 "覆盖率" 一节: 38.1% 是***测试覆盖率 (正如您在 GitHub 存储库中看到的那样, 我对某些文件进行了测试, 但对于所有的文档都没有)。在黄色部分, 您可以看到新添加的行的覆盖率。外部或功能性,质量描述软件与其定义的功能需求–它是否按预期执行。以前, 为了添加错误, 我引入了一些新行, 但我没有为这些新行创建任何测试, 因此新的测试覆盖率为0%。此外, 点击覆盖范围, 我可以看到更多的信息的覆盖面, 例如: 覆盖的文件, 覆盖线的数量, 等等。

错误信息

通过这种快速而简单的分析 (您只需执行一个命令), 您将能够防止出现在生产环境中的错误, 使代码保持安全并遵守***jia做法和质量标准。在下面的迭代中, 我将致力于实现零 bug、漏洞和代码气味的目标。高质量应用的上市时间变得至关重要,但提供软件发布和开发新的面向客户的快速应用是一个越来越大的挑战。我还可以在测试中得到100% 的代码。一旦我的代码处于这种状态, 就很容易看出所做的更改是否引入了某种错误或坏的做法。

如何挤压 SonarQube正如您在上一节中看到的, 保持代码的良好状态非常简单。但是, 还有更多的发现。SonarQube 有很多很酷的集成。

分析方法可以在下列分析方法之间进行选择:

用于 MSBuild 的 SonarQube 扫描仪:. Net 项目的启动分析SonarQube 扫描器: maven 的启动分析和***xiao配置SonarQube 扫描器 Gradle: 发射 Gradle 分析蚂蚁 SonarQube 扫描器: 蚂蚁发射分析詹金斯 SonarQube 扫描仪: 詹金斯发射分析SonarQube 扫描仪: 当其他分析器都不合适时, 从命令行启动分析插件另外, SonarQube 有一个更新中心与各种各样的插件组织入不同的类别, 一些有用的插件是:

代码分析器

SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成

GitHub 插件: 分析拉请求, 并指出问题作为评论。谷歌分析: 将 google 分析跟踪脚本添加到 SonarQube 的 web 应用程序中。单片机引擎

善变的: 增加对善变的支持。git: 添加对 git 的支持。SVN: 添加对 Subversion 的支持。身份验证和授权

GitHub 身份验证: 通过 GitHub 启用用户身份验证和单一登录。GitLab 身份验证: 通过 GitLab 启用用户身份验证和单一登录。谷歌认证: 启用用户身份验证授权到谷歌。这意味着使用SonarQube作为"诊断指标"而不是"基于结果的"指标,可以更好的推动成功。读过这篇文章后, 你可能想尝试 SonarQube, 看看它是如何融入你的日常工作的。您可以直接从 Bitnami 目录***或启动它。

快乐 (和安全) 编码!

FindBugs作为独立的GUI应用程序分发，也可以作为Eclipse，NetBeans，IntelliJ IDEA和Findbugs的插件从命令行或ant，eclipse，maven，netbeans和emacs中使用。

Apache Ant

200px-Apache-Ant-logo.svg <a <span =“”> href =“http://ant.apache.org/”> Apache Ant是一个Apache项目，它是开源软件，并在Apache软件许可证。 Apache Ant使用XML，是软件构建过程自动化的有用工具，并使用Java语言实现，需要Java平台并主要用于Java项目。软件质量要求必须尽可能多地与所有软件产品共同,无论他们的细节。它也是一个库和一个命令行工具，Ant是具有许多内置任务的设计，允许开发人员编译，组装，测试和运行Java应用程序。

Java Ant外还可以用于构建非Java应用程序，如C或C ++应用程序，一般使用可用于可根据目标和任务进行描述的进程类型。

有大量现成的商业或开源“antlib”可供用户使用，它非常有用，因为它是灵活的，并没有限制Java编程约定或Java项目的目录布局。

Apache Ant适用于常用的Java IDE，如Eclipse，NetBeans和IntelliJ IDEA。

JProfiler的

logo_jprofiler01

JProfiler是由ej-technologies GmbH开发的商业许可Java分析工具，主要用于与Java EE和Java SE应用程序配合使用。

JProfiler是一个Java分析器，将CPU，内存和线程分析结合到一个应用程序中，对开发人员有用，因为它可用于分析性能瓶颈，内存泄漏，CPU负载和解决线程问题。

JProfiler是有用的，因为它支持本地分析（分析在安装了JProfiler软件的同一台机器上运行的应用程序）和远程分析（这是允许分析在远程机器上运行的Java应用程序的JProfiler软件未安装。）。

JProfiler可以在两种情况下对信息进行配置，并允许用户通过可视化表示立即查看活动和总字节，实例，线程，类和垃圾收集器活动的显示负载。