上海中国sonarqube规则*** 华克斯

SonarSource 城市之旅2016丹切2016年5月26日在10:14pm今天我参加了伦敦 SonarSource 城市之旅。SonarSource 制作两个 "连续代码质量" 工具: SonarQube;和 SonarLint。

雷迪森 sas 波特曼酒店举办的低调活动约50与会者。我们听到了一些适当的技术介绍, 从奥利维尔 Gaudin, 弗雷迪槌, 和 SonarSource 的尼古拉斯秘鲁和邓肯波克林顿从微软。

技术债wu这一天开了一个问题。谁负责代码质量？***还是 QA？

***是不加掩饰的: 开发商。

在某些情况下, 引入技术债wu是可以的, 但团队需要了解他们所创建的问题的权衡和存在的程度。***hao的方法是通过客观和一致的测量。

"修复泄漏"知道你有问题是一回事。修理它是另一回事。

这一天的首要主题是 "修复泄漏": 当你有一个漏水的管道, 你应该先修复它还是先把它擦干净？如果你不首先解决问题的根源, 那么清理就不是很有用。

(这对我来说特别的伤感, 因为我在家里的水管漏水, 所以我迟到了。

在实践中, 这意味着设置一个质量的酒吧 (或 "门" 的 SonarSource 行话) 新的变化, 但大多忽略现有的问题, 直到你得到控制的事情。

这似乎是一个不错的方法, 有两个原因:

它减少了在遗留的基本代码上开始的摩擦力, 因为你可以假装你是从一个干净的石板开始;这是沙子上的一条线, 它为球队的前进设定了期望。奥利维尔不厌其烦地强调, 有一个自动化的工具, 实施这种行为不会减轻你的教育团队的***jia做法。每一个指标都可以博弈, 所以你需要让人们在船上的概念, 真正充分利用它。如果使用得当,自动化的代码分析工具可以启用一个起点来处理软件开发作为一个真正的业务。

SonarQubeSonarQube 度量您的代码库的可维护性、可靠性和安全性, 并跟踪随着时间的推移而改进。它还指出了代码中特定的代码气味, 应该是固定的。

SonarQube 是由超过75k 的公司使用的, 其中一些有数以千计的开发人员和数百万行代码。它成为事实上的代码质量工具, 因为它的介绍8年前, 超过其 Java 根现在支持超过20种语言。

弗雷迪给了我们一个简要的特点, 从***近的版本, 包括 v5.6 (将在几个星期内发布)。

值得注意的是, 现代化的体系结构不再需要分析器和数据库之间的直接连接。这一切都通过了一个网络服务, 这是更明智的。

质量评级也正在完善。现有的 SQALE 度量对衡量项目的可维护性很有好处, 但它没有考虑到问题的严重性。它也没有真正与泄漏概念的网格。

在 SonarQube 5.6 中, SQALE 将重新命名为可维护性, 并且将为性、安全性和可靠性提供新的评级。将所有这些信息一起放在所有项目中将是一个新的治理仪表板 (一个商业插件)。

路线在工作中, 我们使用 gitflow。我们不想合并一个功能分支, 如果它会降低项目的质量, 因此我们特别希望了解分支支持在 SonarQube 中将如何改进。

已经有拉请求集成与 GitHub 和藏匿, 让你知道什么时候合并会引入债wu。

但是, 目前在 SonarQube 内部, 单独的分支被视为单独的项目。配置是重复的, 而且更糟糕的是, 每个功能分支都包含了主分支中的所有问题和债wu。

这是幸运的 SonarSource 的一个高优先级, 虽然它不会被宣布时, 它将船舶。目标是将项目的所有分支作为对主分支的比较。

群集是路线图的一个令人惊讶的补充, 因为这看起来不像是一种需要支持大量负载的产品。然而, 一些真正巨大的设施确实存在于野外, 它可以利用多个 web 服务器与同一数据库进行对话。

当弗雷迪宣布 SonarQube 为服务时, 群集的隐藏议程变得清晰明了。这将是一个免费的开放源码项目服务, 可以分析任何地方托管的项目 (虽然它需要一个 GitHub 帐户进行身份验证)。它将支持所有的内置 SonarSource 插件, 但没有第三方的。这对开源社区来说是一个好消息!?经理/董事可以自定义和使用SonarQube来衡量各个组-服务提供商可以为每个客户自定义仪表板组织,他们正在努力解决不同种类的需求和标准。

***后, 我有机会问墙和集成系统, 如 JIRA。一般的意见是, 这些应该处理外部 SonarQube 本身, 并集成使用的全功能的 rest API 暴露的 SonarQube。

SonarLintSonarLint 是您的 IDE (Eclipse、IntelliJ 或 Visual Studio) 的插件, 它在您键入时标记代码质量问题。这个想法是为了防止泄漏之前, 他们共享与其他的研发

如何在软件开发工作流中构建质量

远见卓识视图, 显示每个测试在运行时的执行时间

假设你是一个希望成长为一家中型科技公司的初创企业--介于30到100工程师之间。招聘是快速发生的, 而且你的代码数量也在快速增长。在较早的阶段, 贵公司专注于证明产品。一切都是规模较小, 你可以循环快速。现在, 随着你的成长, 你有更多的***在编写代码和更多的变量的组合。一个单一的门户,如提供的SonarSource与SonarQube-与能力自动化数据收集-不仅是质量本身,而是关于启用更***测试。

这是当你注意到产品质量开始恶化, 你不能像你希望的那样快速发布代码。在扩展业务时, 有越来越多的变量需要进行调整, 您可能会忽略更多测试的需要, 并在测试上花费更多的时间。

如果你决定聘请一个 QA 经理, 而后者又带来了一批自动化工程师, 你就可以走出困境。硒测试的覆盖率很高。但随着时间的推移, 事情又开始放慢了。所有的自动化和善意, 你建立了硒覆盖开始打破和失败, 它反复暂停软件工厂。

我们开始的地方

当我加入 Shutterstock 时, 我对公司的自动化测试覆盖率印象深刻。几乎每一个功能的网站上都有测试覆盖率的形式, 硒端对点测试。Shutterstock 有一个开发工作流程的地方通过詹金斯, 将阻止部署到生产, 如果硒测试失败。我喜欢这样;这意味着除非所有的测试都通过了, 否则任何人都不能将任何东西放到生产中。这些审计通常由外部审计员在开发过程的"***后一英里"-在功能测试期间或之后。

但不久之后, 我意识到, 我们的公司, 这是每天发布多次, 已经变成了一个公司, 现在被禁止发布多天一次, 主要是因为失败的硒测试。***常见的情况是, 测试失败不是因为产品损坏, 而是因为它们很脆弱。

一些事情导致了这一点:

终端端 selenium-based 验收测试成为了每个人都依赖于测试的唯yi形式的自动化测试。许多团队甚至停止编写单元测试。

测试框架是片状的, 是由 QA 团队建立和拥有的。当某件事情失败, 整个软件工厂停止运转时, QA 团队中一小部分三到五人的错误就落在了我们身上, 他们经常被指责为放慢了组织的速度。

工程组织花了很多时间来研究如何构建一个可以扩展的产品, 但是没有足够的注意力去构建一个支持这种产品开发的开发工作流程。

质量完全由 QA 团队拥有。

在我们的***, 我们有一个 QA 组织, 它没有与组织的其他部分进行扩展。虽然他们拥有自动化所有内容的技能, 但是他们缺乏构建可伸缩的测试框架所需的***技能。由于这种差距, 他们无法影响组织的其他人认为质量是所有人拥有的东西, 而不仅仅是 QA 团队。为了弥合这一差距, 我们不得不重新考虑我们对 QA 整体的态度。同样,模型的命令和控制特性阻止开发团队拥有过程,因为它没有参与审查。

迈向新的开始

我想完成两个目标: 首先, 重建 Shutterstock 的测试基础架构/框架, 使其更加稳定, 其次, 改变 Shutterstock 的工程文化, 使之成为一个质量不是由测试工程团队拥有的, 而是由每个人来拥有。

我们改变了招聘测试工程师时所期待的***能力。我们希望我们的测试工程师成为强大的开发人员, 他们知道如何构建 object-oriented 的解决方案, 从而帮助他们创建一个稳定且可扩展的测试框架。我们也希望他们成为有影响力的人, 他们可以推动他们的团队做正确的事情, 而不采取跳过单元测试这样的捷径。一旦我们建立了一个 world-class 测试工程团队, 我们就开始了解如何快速发布, 同时保持一个***的产品。一个财富100强的公司与超过2万的开发商使用它管理超过6亿行代码,在每天分析超过5000应用程序的环境中。

我们知道我们***da的问题是脆弱的测试, 所以我们建立了一个叫做 "睿智" 的工具来记录每个测试的通过/失败数据。我们所有的测试都把数据推入睿智, 每次他们作为我们的詹金斯工作流程的一部分运行。然后, 我们在这个数据库之上建立了一个网站, 使数据的挖掘变得容易。我们现在能够监控工作的合格率、个别测试的及格率、***常见的失败消息、***的运行测试, 等等。有了这些数据, 我们就可以保持自己和其他人的责任感。我们的一个***团队***受影响的失败的测试认识到, 他们通常的传球率只有20%。(试想一下, 由于这一路障, 软件工厂经常停下来。通过使用远见卓识, 他们能够快速隔离测试的***di合格率, 并在这些测试中看到常见的失败消息。团队对测试脚本进行了简单的修复, 以提高其可靠性。可以同时分析多个文件,并在SonarLint报告视图中检查结果问题提示:当使用分析函数时,可能找不到***近在编辑器中打开的文件的抄写,因为SonarLint使用的是只在其中一个IDz编辑程序中打开文件或其依赖项时才会填充的本地文件缓存。

SonarSource

使用安装在Mac OS X Mountain Lion 10.8.4上的SonarQube?（以前称为Sonar?）

发表在未分类的neomatrix369

介绍（续）

继续从之前在Mac OS X Mountain Lion 10.8.4 [01]上安装SonarQube?（以前称为Sonar?）的博客文章，我们将介绍如何在不同情况下使用SonarQube。

这个帖子可能会比前一个更加冗长，即使用命令输出和屏幕截图，说明SonarQube如何响应各种用户操作。

运行SonarQube分析项目

我们将介绍SonarQube可以通过maven或Sonar-runner（用于非Maven项目）分析项目（以SonarQube支持的编程语言[02]编写）的两种方式，以及SonarQube的不同方面这有助于作为静态代码分析工具。

通过maven

转到包含maven配置文件（即pom.xml）的项目文件夹，并根据***终目标运行以下命令之一：

$ mvn clean安装声纳：声纳

$ mvn install sonar：sonar

$ mvn声纳：声纳

$ mvn clean sonar：sonar 的-Dsonar.host.url = http：// localhost：nnnn

（其中nnnn是SonarQube正在侦听的备用端口号）

输出

通过上述命令成功分析项目将导致以下输出到控制台或日志文件：

[INFO] ----------------------------------------------- -------------------------

[INFO] BUILD SUCCESS

[INFO]总时间：29.923秒

[INFO]完成时间：Fri Sep 13 18:07:01 BST 2013

[INFO] Final Memory：62M / 247M

[INFO] [18：07：01.557]执行org.apache.maven.plugins：maven-surefire-plugin：2.10：test done：20372 ms

[INFO] [18：07：01.557]执行maven插件maven-surefire-plugin done：20373 ms

。

[INFO] [18：07：09.526] ANALYSIS SUCCESSFUL，您可以浏览http：// localhost：9000 / dashboard / index / com.webapplication：sub-webapp

[INFO] [18：07：09.528]执行职位后的类org.sonar.issuesreport.ReportJob

[INFO] [18：07：09.529]执行工作后类别org.sonar.plugins.core.issue.notification.SendIssueNotificati***Po的stJob

[INFO] [18：07：09.529]执行职位后的类org.sonar.plugins.core.batch.IndexProjectP的ostJob

[INFO] [18：07：09.580]执行工作后类org.sonar.plugins.dbcleaner.ProjectPurgeP的ostJob

[INFO] [18：07：09.590] - ＆gt;在2013-08-16和2013-09-12之间每天保留一张快照

[信息] [18：07：09.591] - ＆gt;在2012-09-14和2013-08-16之间每周保留一张快照

[信息] [18：07：09.591] [信息] [18：07：09.614] 2008-09-19和2012-09-14之间每月保留一个快照

[INFO] [18：07：09.627] - ＆gt;删除之前的数据：2008-09-19

[INFO] [18：07：09.629] - ＆gt;清理webapp [id = 1]

[信息] [18：07：09.631] [信息] ------------------------------------- -----------------------------------

[INFO]总时间：38.345秒

[INFO]完成于：Fri Sep 13 18:07:09 BST 2013

[INFO] Final Memory：28M / 255M

以下是几个链接到pom.xml文件的示例，这些文件应该有助于创建新的或修改现有配置以将maven项目与SonarQube（包括其他maven CLI交换机）集成在一起，即使用Maven [03]和SonarQube分析Github [04] 。

通过声纳赛

转到包含sonar-project.properties配置文件的项目文件夹，然后运行以下命令：

</ DIV>

<DIV> </ DIV>

<div> $ sonar-runner </ div>

<DIV>

SonarQube和JaCoCo的个人测试代码覆盖率

本文介绍了如何使SonarQube收集单个测试的测试代码覆盖率指标。代码覆盖工具通常产生一个报告，显示在给定测试会话期间执行的所有测试的组合效果的代码覆盖率（按行，分支等）。例如，当您在持续集成中运行单元测试时就是这种情况。在SonarQube和JaCoCo的帮助下，可以在单个测试用例级别（JUnit或TestNG中的测试方法）中收集覆盖度量。为了实现这一点，我们在这篇文章中显示了一些特殊的配置。持续的检查提供了改进的质量对开发过程和时间线的***xiao中断。

环境

以下过程已经使用SonarQube 4.1.2和4.3.2版本进行了验证，但它也适用于SonarQube 3.7.x（***xin的LTS版本）。值得注意的是,现代化的体系结构不再需要分析器和数据库之间的直接连接。我们用于验证设置的应用程序代码是熟悉的Spring Pet Clinic应用程序，增强功能可支持Tomcat 7和Spring 3（请参阅此篇文章，以了解有关宠物诊suo需要更新的信息：http://deors.wordpress.com/ 2012/09/06 / petclinic-tomcat-7 /）该代码可以从存储库中的GitHub***：https：//github.com/deors/deors.demos.petclinic

说明

一旦你知道如何连接所有的点，这些说明很简单。所有这些都是为Maven Surefire插件添加一些特定的配置（Surefire是插件，它是单元测试执行的任务，它支持JUnit和TestNG）。由于此具体配置不应影响常规单元测试执行，因此建议将所需配置包含在单独的配置文件中，仅在执行SonarQube分析时执行。我们一起来描述pom.xml文件中所需的更改。在实践中,这意味着设置一个质量的酒吧(或"门"的SonarSource行话)新的变化,但大多忽略现有的问题,直到你得到控制的事情。