sonarqube静态安全扫描工具-苏州华克斯

好用且开源的代码质量分析工具：Sonar Qube

很好几个版本：社区版、版、企业版、数据中心版。

Sonarqube 痛点

代码高质量检测分析能力，代理商sonarqube静态安全扫描工具，Bug 检查

支持定制化 review 检测

可以与企业员工系统的账户体系打通

与主流项目构建工具（Maven|Gradle）无缝融合

部署配置简单，sonarqube静态安全扫描工具，文档充足

源码开源，大企业支撑（化）

Sonarqube衡量代码质量的几个指标

1.Bugs Bug是出现了明显错误或是高度近似期望之外行为的代码。

2.漏洞 漏洞是指代码中可能出现被hacker利用的潜在风险点。

3.安全热点 安全敏感代码需要手工审核，以便判断是否存在安全漏洞。

4.异味 代码异味会困扰代码的维护者并降低他们的开发效率。主要的衡量标准是修复它们所需的时间。

5.重复率 新代码中的重复行密度 (%)，重复行数，重复代码块

6.行数 程序中代码的行数

sonarqube问题修改总结

一、代码复杂度问题

1、类的复杂度过高。

说明：Split this class into smaller and more specialized ones to reduce its dependencies on other classes from 24 to the maximum authorized 20 or less.

原因：类之间的耦合度过高，引用了太多其他的类，中国sonarqube静态安全扫描工具，

错误示例：

修改建议：根据面向对象的单一职责进行设计，进行降耦。

2、多重循环嵌套

说明：代码块中包含多个if、for、while、switch，影响阅读，难以维护

错误示例