代理商sonarqube静态安全扫描工具-苏州华克斯公司

如何使用 SonarQube 改进工作流

twitter作为开发人员， 我不得不多次修复生产环境中的问题。有时， 我在代码之前没有看到任何错误， 而在其他时间， 我花了很多时间试图理解别人写的代码-更糟的是， 我把代码放到生产中， 在几个月后发现了安全漏洞。

很可能你也面对过这种情况。因此， 有一个工具， 可以帮助您在早期阶段检测到它们， 岂不是很棒吗？SonarQube 使这成为可能。在这篇文章中， 您将了解它如何帮助您清理代码并防止将来出现问题。

SonarQube 入门SonarQube 是一个开放源码的质量管理平台，山西代理商sonarqube， 致力于不断分析和测量技术质量， 从早的计划阶段到生产。通过将静态和动态分析工具结合在一起， SonarQube 连续监视七轴上的代码， 如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。

SonarQube 是一种用于主要编程语言的代码分析器， 如 c/c++、JavaScript、Java、c#、PHP 或 Python， 等等。通常， 应用程序同时使用多种编程语言， 例如: Java、JavaScript 和 HTML 的组合。SonarQube 自动检测这些语言并调用相应的分析器。

SonarQube 现在是 Bitnami 目录的一部分。您可以或推出它与我们准备使用的云图像只需几次点击和开始使用它在您的所有项目。利用 Bitnami 图像的特点: 安全、xin、优化、一致等。

玩 SonarQube在这个 GitHub 的项目中， 您将找到一个用 JavaScript 编写的代码示例。目标: 向您展示如何将 SonarQube 合并到您的开发工作流中。存储库包含两个主文件夹 (源和测试)， 这样， 您就可以知道测试所涵盖的代码的百分比。

这个项目还包括一个声纳工程. 属性文件， 其中有一些配置参数需要配置 SonarQube， 如用户名， 密码， 语言等。

运行

$ 声纳-扫描仪在项目文件夹内，代理商sonarqube中国总代理， 这样就启动了第yi个扫描仪， 您可以在 web 界面中检查结果。

第yi次扫描

正如您在上面的截图中所看到的， 当前的代码有零 bug、零漏洞和六代码的气味。

我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的， 但是在日常的工作中， 这样的问题会在你没有意识到的情况下出现。

添加错误

再次运行扫描仪使用

$ 声纳-扫描仪如预期的那样， 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:

比较扫描

屏幕右侧将出现一个新节 (以黄色高亮显示)。SonarQube 处理两种状态: 当前状态 (以白色表示) 和xin更改。正如您在截图中所看到的， 上次扫描中引入的更改增加了一个 bug 和一个漏洞。SonarQube 评估每个部分的质量， 评分基于不同的参数， 一个是jia状态。在这种情况下， 引入 bug 导致 'bug' 部分从 a 传递到 C， '漏洞' 部分从 a 到 B。

您可以设置 '泄漏期间' 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。

让我们详细地看看 '覆盖率' 一节: 38.1% 是测试覆盖率 (正如您在 GitHub 存储库中看到的那样， 我对某些文件进行了测试， 但对于所有的文档都没有)。在黄色部分， 您可以看到新添加的行的覆盖率。以前， 为了添加错误， 我引入了一些新行， 但我没有为这些新行创建任何测试， 因此新的测试覆盖率为0%。此外， 点击覆盖范围， 我可以看到更多的信息的覆盖面， 例如: 覆盖的文件， 覆盖线的数量， 等等。

错误信息

通过这种快速而简单的分析 (您只需执行一个命令)， 您将能够防止出现在生产环境中的错误， 使代码保持安全并遵守jia做法和质量标准。在下面的迭代中， 我将致力于实现零 bug、漏洞和代码气味的目标。我还可以在测试中得到100% 的代码。一旦我的代码处于这种状态， 就很容易看出所做的更改是否引入了某种错误或坏的做法。

如何挤压 SonarQube正如您在上一节中看到的， 保持代码的良好状态非常简单。但是， 还有更多的发现。SonarQube 有很多很酷的集成。

分析方法可以在下列分析方法之间进行选择:

用于 MSBuild 的 SonarQube 扫描仪:. Net 项目的启动分析SonarQube 扫描器: maven 的启动分析和xiao配置SonarQube 扫描器 Gradle: 发射 Gradle 分析蚂蚁 SonarQube 扫描器: 蚂蚁发射分析詹金斯 SonarQube 扫描仪: 詹金斯发射分析SonarQube 扫描仪: 当其他分析器都不合适时， 从命令行启动分析插件另外， SonarQube 有一个更新中心与各种各样的插件组织入不同的类别， 一些有用的插件是:

代码分析器

SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成

GitHub 插件: 分析拉请求， 并指出问题作为评论。谷歌分析: 将 google 分析跟踪脚本添加到 SonarQube 的 web 应用程序中。单片机引擎

善变的: 增加对善变的支持。git: 添加对 git 的支持。SVN: 添加对 Subversion 的支持。身份验证和授权

GitHub 身份验证: 通过 GitHub 启用用户身份验证和单一登录。GitLab 身份验证: 通过 GitLab 启用用户身份验证和单一登录。谷歌认证: 启用用户身份验证授权到谷歌。读过这篇文章后， 你可能想尝试 SonarQube， 看看它是如何融入你的日常工作的。您可以直接从 Bitnami 目录或启动它。

快乐 (和安全) 编码!

SonarSource 的产品和服务被世界各地的客户所使用。所有规模的组织都在使用来自 SonarSource 的产品和服务提高生产率， 降低风险， 终开发更好的软件。SONARSOURCE 的产品和服务被世界各地的客户所使用。

思科系统 (NASDAQ: cisco) 是领xian的网络技术。思科拥有73460名员工和 Q2 FY13 121亿美元的收入， 在各种技术领域， 包括安全、网络会议、路由: 边缘//接入、语音等方面都是市场的。思科 IT 代表公司的工程部门， 负责提高开发人员的生产率， 并在持续交付、构建管理、代码审查和部署方面实施jia做法。思科的目标是设计、实施和宣传的软件质量和维护工具。软件质量面临的关键挑战

今天， 思科将成为世界上 1 it 组织的轨道， 但有一段时间， 它无法管理软件质量可能是一个绊脚石。根据思科 it 工程师 Dhairya Sanghvi 的数据， 使它进入和通过 QA 的代码的质量是一个问题。过去有许多与代码相关的问题， 随着时间的推移而不断升级， 花费了我们很多钱。部分问题是缺乏标准。'我们曾经有开发团队以一种杂乱无章的方式进行代码审查和非功能分析，代理商sonarqube经销商，' Sanghvi 说。'没有信息存储或对缺陷数量有清晰的了解'，代理商sonarqube静态安全扫描工具， 也无法看到质量随时间变化的方式。此外， '代码评审所采用的系统和流程没有标准化， 因为没有用于执行 (审查) 的通用工具或规则集'。开发团队正在使用各种工具进行静态分析和单元测试， 但他说， '思科需要将其转移到一个具有更成熟报告能力的工具上， 开发人员和管理层都可以对其进行解释。SONARQUBE 是一致的选择

Sanghvi 说， 在寻找能够满足思科需求的工具的同时， 研究团队也在尝试将敏捷实践融入到思科 it 开发环境中。他说， 这支球队是以 SonarQube 的特点出售的， 但整合是关键的。'SonarQube 是一个代码分析工具， 与詹金斯集成好， 我们去了， ' a-哈， SonarQube 它是这样的!SonarQube 是一致的选择。Sanghvi 说， SonarQube 有 '很多伟大的特点'， 但这些突出:可自定义的规则集-'SonarQube 中的可定制的质量配置文件是一个非常有用的灵活性， 考虑到我们的平台上有各种不同的粉笔和奶酪的团队，' Sanghvi 说。'此外， 将 xml 规则 (从一个 SonarQube 实例转移到另一个) 和这些配置文件的继承能力都很容易使其成为的产品。项目组合管理-思科公司正在使用投资组合管理插件， 在整个企业中提供管理友好、个性化的质量指标。这给整个组织提供了很大的激励， 可以定期检查他们的进度， 跟踪改进并采取行动来修复质量缺陷。时间机器– '趋势分析报告是 SonarQube 中da量的使用能力之一， 帮助我们说服许多项目团队采用该工具' Sanghvi 说。'能够看到我们的项目在很长一段时间内的质量改善是关键的项目之一， 在您的阿森纳。当与项目组合管理插件结合使用时， 此功能为组织的性能提供了一个完整的窗口。在代码审查和功能集成中节省了大量的资源时间

根据 Sanghvi 的数据， 思科公司采用 SonarQube 的方法， 对这家企业来说是一个巨大的胜利。'SonarQube 已经触发了三倍的业务影响， 我们已经看到了在每一个项目团队， 我们已经登上-交付 (时间到能力减少)， 工程 (质量改进) 和业务价值 (成本节约)。通过将代码分析转移到开发阶段并每天运行它， Cisco it 大大提高了代码质量， 并因此减少了紧急 bug 修复， 这 '为组织节省了大量成本'， Sanghvi 说。'在 PLC 的早期阶段遇到的缺陷比以后被发现的要便宜得多。下一次大胜利是在代码审查领域。现在， 每个团队都在同一个地方进行代码评审， 使用相同的工具和度量， SonarQube 提供了对关键缺陷度量的清晰和基于时间的可见性。由于 SonarQube 的日常代码分析， 在代码审查和功能集成中节省了大量的资源时间。此外， 'SonarQube， 与其相关的质量概况和他们的客户

SonarLint 与开发人员集成的 z 系统

从 v14.0.0.5 开始， IBM z 系统开发人员 (IDz) 支持 SonarLint v3.2.0， 并在其主机 COBOL 和 PLI 代码中针对 bug 和质量问题向开发人员提供动态反馈。一旦将 SonarLint Eclipse 扩展并安装到您的 IDz 客户端中， 您就可以使用 SonarQube 服务器视图连接到 SonarQube 服务器， 然后使用子项目的上下文菜单将一个模块的子项目绑定到 SonarQube 服务器和项目。现在， 当使用 cobol 或 PLI 编辑器打开绑定子项目中的 cobol 或 PLI 文件时， 将在文件中标记任何违反在 SonarQube project 中设置的规则之一的代码， 并通过悬停帮助来显示解释。文件中发现的所有问题的列表都可在 SonarLint 的 '动态' 视图中找到。

从绑定的 SonarLint 子项目中打开 COBOL 或 PLI 文件会触发一项分析提示: 如果编辑器中没有出现问题注释， SonarLint 可能无法成功解析该文件。您可以在 Eclipse 控制台视图下检查 SonarLint 控制台， 以查找任何问题， 如缺少包含文件 (抄写)。如往常一样， 使用子项目的关联属性组中的 SYSLIB 字段来解析包含文件引用。您可以选择一个或多个文件， 甚至是子项目本身， 然后单击 SonarLint 分析， 而不是打开单个文件。生成的问题将在 'SonarLint 报告' 视图中报告， 您可以在其中双击要带到编辑器中相关代码行的问题。或者， 您可以右键单击某个问题， 然后选择要带到 SonarLint 规则说明视图的规则说明， 以及具有兼容和不兼容代码示例的规则的详细说明。

可以同时分析多个文件， 并在 SonarLint 报告视图中检查结果问题提示: 当使用分析函数时， 可能找不到近在编辑器中打开的文件的抄写， 因为 SonarLint 使用的是只在其中一个 IDz 编辑程序中打开文件或其依赖项时才会填充的本地文件缓存。