中国sonarqube规则-sonarqube规则-华克斯

SonarSource简介

具有 Artifactory 和 Sonarqube 集成的连续交付准备 Gradle 项目当玩弄持续集成/交付/部署的概念时， 我在 Gradle 构建以及如何将它们集成到这些概念中而苦苦挣扎。Gradle 在构建工具环境中越来越重要， 因此我创建了一个关于如何使用它的模板或原型。我选择了一个场景， 我看到了 Maven 和其他工具已经实现了:

推动风投转向中央风投将更改标记为特定 id 并将其推回中央 VCS使用单元测试执行生成执行声纳分析执行 artifactory 上载此链使您能够不断地将每个更改设置标记、单元测试、分析并上载到您的工件存储库， 以备部署。简而言之， 这是 (从我的角度来看) 持续交货的精神。

环境:

Gradle 3.5 (通过项目的 Gradle 包装)Artifactory: 5.2. 1-OSS， 运行在 http://localhost:8081/artifactorySonarqube: 6.3.1， 跑在 http://localhost:9000注意: 在这种情况下， Sonarqube 和 Artifactory 将由管理员用户使用。在实际生产环境中， 必须将其更改为更安全的方式

首先， 我在 Artifactory 中添加了一个本地 (m2-compatible) 和两个远程存储库:

'库-释放-本地' 是为了保存我自己的工件 (这就是为什么它被称为 '本地')'插件-gradle-org' 指向远程回购 'https:///m2/' (这是 gradle 插件所必需的)'repo1-maven-org' 指向远程回购 'http://repo1./maven2/' (这是项目的所有其他依赖项所必需的)此外， 我创建了一个虚拟的回购 '释放' 包含所有 3 mentionend 回购。这使得从一个位置获取所有发布的库更容易。

该项目本身并不真正重要的这篇文章。我认为这是一个标准的 java 项目， 遵循 Maven/Gradle 的惯例。更有趣的部分是 Gradle 文件:

gradle/包装/gradle 包装。生成. gradle凭据. 属性gradle. 属性设置. gradle

SonarSource交付管道，

持续的交付和 DevOps 是众所周知的和广泛传播的做法现在。人们普遍认为， 重要的是组建伟大的团队， 首先定义共同的目标， 然后选择和整合适合于给定任务的工具。通常， 它是一个轻量级工具的混搭， 它们集成在一起建立连续的交付管道并支持 DevOps 的计划。在这个博客文章中， 我们放大到了整个管道的一个重要部分， 这就是经常被称为连续检查的学科， 它包括检查代码并在上面注入一个质量门， 并显示在达到质量门后如何上传工件。DevOps 的启用工具包括詹金斯、SonarQube 和 Artifactory。

的用例你已经知道质量不能在事后被注入，中国sonarqube规则， 而是从一开始就应该是过程和产品的一部分。作为一种常用的良好做法， 强烈建议您尽快检查代码并使结果可见。因为 SonarQube 是一个很好的选择。但 SonarQube 不只是运行在任何孤立的岛屿， 它是集成在一个输送管道。作为管道的一部分， 代码被检查， 并且仅当代码根据定义的要求是好的， 换句话说: 它满足质量门， 被建立的工件被上传到二进制存储库管理器。

让我们考虑下面的场景。其中一个繁忙的开发人员必须修复代码， 并检查对中央版本控制系统的更改。白天很长， 晚上很短， 而且对所有团队的承诺， 开发人员没有检查本地沙箱中代码的质量。幸运的是， 有构建引擎詹金斯作为一个单一的真理点，代理商sonarqube规则， 实现交付管道与其本地管道功能， 并作为一个方便的巧合 SonarQube 有支持詹金斯管道。

此更改将触发管线的新运行。哦不！生成管线中断， 并且未进一步处理更改。在下面的图像中， 您会看到已定义的质量门被忽略。可视化是由詹金斯蓝色海洋完成的。

01 PipelineFailedBlueOcean

SonarQube 检验潜在的问题是什么？我们可以打开 SonarQube 的 web 应用程序并深入查找。在 Java 代码中， 显然没有将字符串文本放在右侧。

02发现

在团队会议中， 决定将其定义为一个阻止程序， 并相应地配置 SonarQube。此外， 建立了一个 SonarQube 质量门， 以打破任何建设， 如果一个拦截qi被确定。现在让我们快速查看代码。是的， SonarQube 是对的， 下面的代码段有问题。

03 FindingVisualizedInCode

我们不希望详细讨论所有使用的工具， 也涵盖完整的詹金斯构建工作将超出范围。但有趣的提取这里的检查方面是在詹金斯管道 DSL 中定义的以下阶段:

配置. xml: SonarQube 检查阶段 ('SonarQube 分析') {withSonarQubeEnv ('声纳') {mvn 组织 sonarsource 扫描仪. maven: 声纳-maven-插件: 3.3. 0.603: 声纳 +'-f 所有/pom' xml +'-Dsonar projectKey = com. huettermann: 全部: 主' +'-Dsonar' 登录 = $ SONAR_UN +'-Dsonar' 密码 = $ SONAR_PW +'-Dsonar' 语言 = java +'-Dsonar。' 的+'-Dsonar。' 的+-Dsonar 测试. 夹杂物 = ** 测试 *** +'-Dsonar. 排除/**/** 测试 ***'}}用于运行 SonarQube 分析的阶段。允许选择要与之交互的 SonarQube 服务器。运行和配置扫描仪， 许多可用的选项， 请检查文档。许多选项可用于集成和配置 SonarQube。请参阅文档中的替代方案。同样适用于其他覆盖的工具。SonarQube 质量门作为詹金斯管线阶段的一部分， SonarQube 配置为运行和检查代码。但这仅仅是第yi部分， 因为我们现在还想添加质量门， 以打破构建。下一阶段正好涵盖了这一点， 请参阅下一片段。管道被暂停， 直到质量门被计算， 特别是 waitForQualityGate 步骤将暂停管道， 直到 SonarQube 分析完成并返回质量门状态。如果遗漏了质量门， 则生成将中断。

SonarSource 的产品和服务被世界各地的客户所使用。所有规模的组织都在使用来自 SonarSource 的产品和服务提高生产率， 降低风险， 终开发更好的软件。SONARSOURCE 的产品和服务被世界各地的客户所使用。

思科系统 (NASDAQ: cisco) 是领xian的网络技术。思科拥有73460名员工和 Q2 FY13 121亿美元的收入， 在各种技术领域， 包括安全、网络会议、路由: 边缘//接入、语音等方面都是市场的。思科 IT 代表公司的工程部门， 负责提高开发人员的生产率， 并在持续交付、构建管理、代码审查和部署方面实施jia做法。思科的目标是设计、实施和宣传的软件质量和维护工具。软件质量面临的关键挑战

今天，sonarqube规则， 思科将成为世界上 1 it 组织的轨道， 但有一段时间，代理商sonarqube规则， 它无法管理软件质量可能是一个绊脚石。根据思科 it 工程师 Dhairya Sanghvi 的数据， 使它进入和通过 QA 的代码的质量是一个问题。过去有许多与代码相关的问题， 随着时间的推移而不断升级， 花费了我们很多钱。部分问题是缺乏标准。'我们曾经有开发团队以一种杂乱无章的方式进行代码审查和非功能分析，' Sanghvi 说。'没有信息存储或对缺陷数量有清晰的了解'， 也无法看到质量随时间变化的方式。此外， '代码评审所采用的系统和流程没有标准化， 因为没有用于执行 (审查) 的通用工具或规则集'。开发团队正在使用各种工具进行静态分析和单元测试， 但他说， '思科需要将其转移到一个具有更成熟报告能力的工具上， 开发人员和管理层都可以对其进行解释。SONARQUBE 是一致的选择

Sanghvi 说， 在寻找能够满足思科需求的工具的同时， 研究团队也在尝试将敏捷实践融入到思科 it 开发环境中。他说， 这支球队是以 SonarQube 的特点出售的， 但整合是关键的。'SonarQube 是一个代码分析工具， 与詹金斯集成好， 我们去了， ' a-哈， SonarQube 它是这样的!SonarQube 是一致的选择。Sanghvi 说， SonarQube 有 '很多伟大的特点'， 但这些突出:可自定义的规则集-'SonarQube 中的可定制的质量配置文件是一个非常有用的灵活性， 考虑到我们的平台上有各种不同的粉笔和奶酪的团队，' Sanghvi 说。'此外， 将 xml 规则 (从一个 SonarQube 实例转移到另一个) 和这些配置文件的继承能力都很容易使其成为的产品。项目组合管理-思科公司正在使用投资组合管理插件， 在整个企业中提供管理友好、个性化的质量指标。这给整个组织提供了很大的激励， 可以定期检查他们的进度， 跟踪改进并采取行动来修复质量缺陷。时间机器– '趋势分析报告是 SonarQube 中da量的使用能力之一， 帮助我们说服许多项目团队采用该工具' Sanghvi 说。'能够看到我们的项目在很长一段时间内的质量改善是关键的项目之一， 在您的阿森纳。当与项目组合管理插件结合使用时， 此功能为组织的性能提供了一个完整的窗口。在代码审查和功能集成中节省了大量的资源时间

根据 Sanghvi 的数据， 思科公司采用 SonarQube 的方法， 对这家企业来说是一个巨大的胜利。'SonarQube 已经触发了三倍的业务影响， 我们已经看到了在每一个项目团队， 我们已经登上-交付 (时间到能力减少)， 工程 (质量改进) 和业务价值 (成本节约)。通过将代码分析转移到开发阶段并每天运行它， Cisco it 大大提高了代码质量， 并因此减少了紧急 bug 修复， 这 '为组织节省了大量成本'， Sanghvi 说。'在 PLC 的早期阶段遇到的缺陷比以后被发现的要便宜得多。下一次大胜利是在代码审查领域。现在， 每个团队都在同一个地方进行代码评审， 使用相同的工具和度量， SonarQube 提供了对关键缺陷度量的清晰和基于时间的可见性。由于 SonarQube 的日常代码分析， 在代码审查和功能集成中节省了大量的资源时间。此外， 'SonarQube， 与其相关的质量概况和他们的客户