中国sonarqube 中文-华克斯

如何使用 SonarQube 改进工作流

twitter作为开发人员， 我不得不多次修复生产环境中的问题。有时， 我在代码之前没有看到任何错误， 而在其他时间， 我花了很多时间试图理解别人写的代码-更糟的是， 我把代码放到生产中， 在几个月后发现了安全漏洞。

很可能你也面对过这种情况。因此， 有一个工具， 可以帮助您在早期阶段检测到它们， 岂不是很棒吗？SonarQube 使这成为可能。在这篇文章中， 您将了解它如何帮助您清理代码并防止将来出现问题。

SonarQube 入门SonarQube 是一个开放源码的质量管理平台， 致力于不断分析和测量技术质量， 从早的计划阶段到生产。通过将静态和动态分析工具结合在一起， SonarQube 连续监视七轴上的代码， 如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。

SonarQube 是一种用于主要编程语言的代码分析器， 如 c/c++、JavaScript、Java、c#、PHP 或 Python， 等等。通常， 应用程序同时使用多种编程语言， 例如: Java、JavaScript 和 HTML 的组合。SonarQube 自动检测这些语言并调用相应的分析器。

SonarQube 现在是 Bitnami 目录的一部分。您可以或推出它与我们准备使用的云图像只需几次点击和开始使用它在您的所有项目。利用 Bitnami 图像的特点: 安全、xin、优化、一致等。

玩 SonarQube在这个 GitHub 的项目中， 您将找到一个用 JavaScript 编写的代码示例。目标: 向您展示如何将 SonarQube 合并到您的开发工作流中。存储库包含两个主文件夹 (源和测试)，sonarqube 中文， 这样， 您就可以知道测试所涵盖的代码的百分比。

这个项目还包括一个声纳工程. 属性文件， 其中有一些配置参数需要配置 SonarQube， 如用户名， 密码， 语言等。

运行

$ 声纳-扫描仪在项目文件夹内， 这样就启动了第yi个扫描仪， 您可以在 web 界面中检查结果。

第yi次扫描

正如您在上面的截图中所看到的， 当前的代码有零 bug、零漏洞和六代码的气味。

我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的， 但是在日常的工作中， 这样的问题会在你没有意识到的情况下出现。

添加错误

再次运行扫描仪使用

$ 声纳-扫描仪如预期的那样， 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:

比较扫描

屏幕右侧将出现一个新节 (以黄色高亮显示)。SonarQube 处理两种状态: 当前状态 (以白色表示) 和xin更改。正如您在截图中所看到的， 上次扫描中引入的更改增加了一个 bug 和一个漏洞。SonarQube 评估每个部分的质量， 评分基于不同的参数， 一个是jia状态。在这种情况下， 引入 bug 导致 'bug' 部分从 a 传递到 C， '漏洞' 部分从 a 到 B。

您可以设置 '泄漏期间' 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。

让我们详细地看看 '覆盖率' 一节: 38.1% 是测试覆盖率 (正如您在 GitHub 存储库中看到的那样， 我对某些文件进行了测试， 但对于所有的文档都没有)。在黄色部分， 您可以看到新添加的行的覆盖率。以前，中国sonarqube 中文， 为了添加错误， 我引入了一些新行， 但我没有为这些新行创建任何测试， 因此新的测试覆盖率为0%。此外，中国sonarqube 中文， 点击覆盖范围， 我可以看到更多的信息的覆盖面， 例如: 覆盖的文件， 覆盖线的数量， 等等。

错误信息

通过这种快速而简单的分析 (您只需执行一个命令)， 您将能够防止出现在生产环境中的错误， 使代码保持安全并遵守jia做法和质量标准。在下面的迭代中， 我将致力于实现零 bug、漏洞和代码气味的目标。我还可以在测试中得到100% 的代码。一旦我的代码处于这种状态， 就很容易看出所做的更改是否引入了某种错误或坏的做法。

如何挤压 SonarQube正如您在上一节中看到的， 保持代码的良好状态非常简单。但是， 还有更多的发现。SonarQube 有很多很酷的集成。

分析方法可以在下列分析方法之间进行选择:

用于 MSBuild 的 SonarQube 扫描仪:. Net 项目的启动分析SonarQube 扫描器: maven 的启动分析和xiao配置SonarQube 扫描器 Gradle: 发射 Gradle 分析蚂蚁 SonarQube 扫描器: 蚂蚁发射分析詹金斯 SonarQube 扫描仪: 詹金斯发射分析SonarQube 扫描仪: 当其他分析器都不合适时， 从命令行启动分析插件另外， SonarQube 有一个更新中心与各种各样的插件组织入不同的类别， 一些有用的插件是:

代码分析器

SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成

GitHub 插件: 分析拉请求， 并指出问题作为评论。谷歌分析: 将 google 分析跟踪脚本添加到 SonarQube 的 web 应用程序中。单片机引擎

善变的: 增加对善变的支持。git: 添加对 git 的支持。SVN: 添加对 Subversion 的支持。身份验证和授权

GitHub 身份验证: 通过 GitHub 启用用户身份验证和单一登录。GitLab 身份验证: 通过 GitLab 启用用户身份验证和单一登录。谷歌认证: 启用用户身份验证授权到谷歌。读过这篇文章后， 你可能想尝试 SonarQube， 看看它是如何融入你的日常工作的。您可以直接从 Bitnami 目录或启动它。

快乐 (和安全) 编码!

SonarSource 的产品和服务被世界各地的客户所使用。所有规模的组织都在使用来自 SonarSource 的产品和服务提高生产率， 降低风险， 终开发更好的软件。SonarQube 是每天使用的 Zitro 游戏审查其 c++ 和 PHP 代码， 并分配质量改进任务给其工程师。Zitro 游戏生产的xian进的游戏平台预计会不停地运行， 没有故障或错误， 因此软件质量对其业务运营绝dui至关重要。但是制作的宾果软件只是一次还不够。为了保持其作为领xian的视频宾果游戏的地位， Zitro 必须跟上创新的步伐，代理商sonarqube 中文， 这意味着经常发布。由于 Zitro 生产的du博软件， 处理真正的钱， 这些版本必须尽可能接近。保持短期的 Zitro 需要保持竞争力只有当它有一个清晰的， 全mian的和xin的图片的质量影响的变化在一个版本。软件质量-从哪里开始？

当它来检查和提高其软件质量， Zitro 只是不知道从哪里开始。首先， 对软件的当前状态没有一个清晰的描述。这意味着， 即使它想投入资源来提高其软件的整体质量， Zitro 的员工也无法有效地组织他们的改进工作， 因为他们不知道应该关注什么。挣扎， 他们做了唯yi的事情， 他们可以想到的;'我们做了繁琐的， 手动代码审查所有的新代码， 每一个版本，' Zitro 研发总监哈维 Albors 说。SONARQUBE 提供了一个关于整体源代码质量的清晰视图

当他们发现 SonarQube 的时候， Zitro 的员工意识到他们已经找到了一个高xiao且负担得起的工具， 每天自动检查所有的 c++ 和 PHP 代码。Albors 说: '我们仍然在的一些重要部分进行了一些手工代码审查， 但在所有的代码中都没有。现在， '我们只审查 SonarQube 报告。更好的是， 他们能够使用 SonarQube 的问题工作流来管理来自同一接口的这些报告中显示的内容的补救。SonarQube 的好处得到了明确的证明， Zitro 管理层决定将其部署到整个组织。像问题管理系统这样的关键 SonarQube 功能加快了开发团队的采用， SonarQube 的仪表板为组织中的每个人提供了重要信息的整合视图。结果: 显著的节省时间和代码质量的改进

今天， Zitro 使用 SonarQube 分析约25万行代码， 这是划分在17项目， 并由一个由20工程师团队维护。应用程序通过与其 Quickbuild 生成服务器的直接集成， 每天进行分析。每天都会对新的 SonarQube 结果进行评审， 并使用问题管理工作流来分配质量改进任务。'我们赢得了所有团队的时间， 提高了我们的源代码质量， 因为机器正在监视我们!Albors 说。

连续检查由奥利维尔 Gaudin，SonarSource SA 执行官兼共同创始人软件的范式转换质量管理介绍软件质量是每个商业企业日益关注的问题， 因为不断升级的角色软件在运行关键业务系统中发挥作用。软件质量包括外部和内部质量。外部或功能性， 质量描述软件与其定义的功能需求–它是否按预期执行？内部质量描述关键的内部代码的特性， 如健壮性、标准一致性和可维护性。行业统计显示， 平均而言， 软件产品的生命周期成本的80% 用于维护，根据内部质量， 维护成本有很高的变异性。这意味着水平软件产品的可维护性今天将决定其成本责任的水平明天。传统的代码质量控制方法涉及 so-called 的准时审核或质量门， 这是对源代码的定期审核。这些审计通常由外部审计员在开发过程的 '后一英里'-在功能测试期间或之后。根据他们的本性准时的审核会导致开发周期的中断， 因为它们会导致更改'已完成' 软件。在hao的情况下， 这种质量控制方法会导致延迟和返工。在坏的情况是， 它导致了劣质软件的发布。在这两种情况下， 传统方法使人们认识到， 构建高质量的软件过于复杂和昂贵。迫切需要一个新的模式， 强调质量贯穿整个开发周期， 并有更短的反馈回路， 以确保快速解决内部质量问题;简而言之，从一开始就建立质量的模型， 而不是事后考虑。连续检查是一个整体的、完全实现的过程， 旨在使内部代码质量成为软件开发生命周期的组成部分。通过提高所有利益相关者的度生命周期， 连续检测使企业能够接受代码质量 whole-heartedly。在 SonarSource 的支持下， 连续检验范式是非常有效的， 并已被证明从小公司到财富100强企业， 在现实世界中工作，各行业。本文详细介绍了代码质量管理中的关键问题。它然后介绍了连续检查范式， 并说明了它如何解决这些挑战，支持数以千计的企业提高软件质量。