如何使用 SonarQube 改进工作流
twitter作为开发人员, 我不得不多次修复生产环境中的问题。有时, 我在代码之前没有看到任何错误, 而在其他时间, 我花了很多时间试图理解别人写的代码-更糟的是, 我把代码放到生产中, 在几个月后发现了安全漏洞。
很可能你也面对过这种情况。因此, 有一个工具, 可以帮助您在早期阶段检测到它们, 岂不是很棒吗?SonarQube 使这成为可能。在这篇文章中, 您将了解它如何帮助您清理代码并防止将来出现问题。
SonarQube 入门SonarQube 是一个开放源码的质量管理平台, 致力于不断分析和测量技术质量, 从早的计划阶段到生产。通过将静态和动态分析工具结合在一起, SonarQube 连续监视七轴上的代码, 如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。
SonarQube 是一种用于主要编程语言的代码分析器, 如 c/c++、Java、Java、c#、PHP 或 Python, 等等。通常, 应用程序同时使用多种编程语言, 例如: Java、Java 和 HTML 的组合。SonarQube 自动检测这些语言并调用相应的分析器。
SonarQube 现在是 Bitnami 目录的一部分。您可以或推出它与我们准备使用的云图像只需几次点击和开始使用它在您的所有项目。利用 Bitnami 图像的特点: 安全、xin、优化、一致等。
玩 SonarQube在这个 GitHub 的项目中, 您将找到一个用 Java 编写的代码示例。目标: 向您展示如何将 SonarQube 合并到您的开发工作流中。存储库包含两个主文件夹 (源和测试), 这样, 您就可以知道测试所涵盖的代码的百分比。
这个项目还包括一个声纳工程. 属性文件, 其中有一些配置参数需要配置 SonarQube, 如用户名, 密码, 语言等。
运行
$ 声纳-扫描仪在项目文件夹内, 这样就启动了第yi个扫描仪, 您可以在 web 界面中检查结果。
第yi次扫描
正如您在上面的截图中所看到的, 当前的代码有零 bug、零漏洞和六代码的气味。
我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的, 但是在日常的工作中, 这样的问题会在你没有意识到的情况下出现。
添加错误
再次运行扫描仪使用
$ 声纳-扫描仪如预期的那样, 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:
比较扫描
屏幕右侧将出现一个新节 (以黄色高亮显示)。SonarQube 处理两种状态: 当前状态 (以白色表示) 和xin更改。正如您在截图中所看到的, 上次扫描中引入的更改增加了一个 bug 和一个漏洞。SonarQube 评估每个部分的质量, 评分基于不同的参数, 一个是jia状态。在这种情况下, 引入 bug 导致 'bug' 部分从 a 传递到 C, '漏洞' 部分从 a 到 B。
您可以设置 '泄漏期间' 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。
让我们详细地看看 '覆盖率' 一节: 38.1% 是测试覆盖率 (正如您在 GitHub 存储库中看到的那样,吉林sonarqube报价, 我对某些文件进行了测试, 但对于所有的文档都没有)。在黄色部分, 您可以看到新添加的行的覆盖率。以前, 为了添加错误, 我引入了一些新行, 但我没有为这些新行创建任何测试, 因此新的测试覆盖率为0%。此外, 点击覆盖范围, 我可以看到更多的信息的覆盖面, 例如: 覆盖的文件, 覆盖线的数量, 等等。
错误信息
通过这种而简单的分析 (您只需执行一个命令), 您将能够防止出现在生产环境中的错误, 使代码保持安全并遵守jia做法和质量标准。在下面的迭代中, 我将致力于实现零 bug、漏洞和代码气味的目标。我还可以在测试中得到 的代码。一旦我的代码处于这种状态, 就很容易看出所做的更改是否引入了某种错误或坏的做法。
如何挤压 SonarQube正如您在上一节中看到的, 保持代码的良好状态非常简单。但是,代理商sonarqube报价, 还有更多的发现。SonarQube 有很多很酷的集成。
分析方法可以在下列分析方法之间进行选择:
用于 MSBuild 的 SonarQube 扫描仪:. Net 项目的启动分析SonarQube 扫描器: maven 的启动分析和xiao配置SonarQube 扫描器 Gradle: 发射 Gradle 分析蚂蚁 SonarQube 扫描器: 蚂蚁发射分析詹金斯 SonarQube 扫描仪: 詹金斯发射分析SonarQube 扫描仪: 当其他分析器都不合适时, 从命令行启动分析插件另外,价格sonarqube报价, SonarQube 有一个更新中心与各种各样的插件组织入不同的类别, 一些有用的插件是:
代码分析器
SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成
GitHub 插件: 分析拉请求, 并指出问题作为评论。谷歌分析: 将 google 分析跟踪脚本添加到 SonarQube 的 web 应用程序中。单片机引擎
善变的: 增加对善变的支持。git: 添加对 git 的支持。SVN: 添加对 Subversion 的支持。身份验证和授权
GitHub 身份验证: 通过 GitHub 启用用户身份验证和单一登录。GitLab 身份验证: 通过 GitLab 启用用户身份验证和单一登录。谷歌认证: 启用用户身份验证授权到谷歌。读过这篇文章后, 你可能想尝试 SonarQube, 看看它是如何融入你的日常工作的。您可以直接从 Bitnami 目录或启动它。
快乐 (和安全) 编码!
SonarSource连续检查的10原则:
开发过程中的所有利益干系人 (不仅仅是开发人员或经理) 必须具有现成的访问权限到有关软件质量的有意义的数据。
管理软件质量必须是每个人的关注从开始的发展, 但是开发团队的终ji责任。
软件质量必须是开发过程的一部分, 这意味着满足质量标准是一个的硬要求能够声明开发完成。
软件质量要求必须是客观的, 不需要主观的通过/失败的决定。软件质量要求必须尽可能多地与所有软件产品共同, 无论他们的细节。
软件质量数据必须是xin的, 即对代码的近版本进行测量。
软件产品必须不断检查, 以便在容易发现错误时迅速正确.开发人员必须能够发现新的质量缺陷, 一旦他们被引入, 即在IDE 编写代码时, 类似于拼写检查程序突出拼写错误的方式。
无论是通过推还是拉, 在注入新的质量缺陷时,代理商sonarqube价格, 都必须提醒利益干系人, 无论这是通过发送电子邮件, 打破了构建或其他方法。
必须跟踪新问题的注入,使团队能够、明智地决定质量。
软件质量数据必须同时提供绝dui (在所有代码) 和差异 (新的代码)值, 以便开发团队可以完全控制问题的传入流程。
所有新问题和现有关键问题都必须为解决方案指ding明确的路径和时间线。
持续的检验范式是非常有效的, 并已被证明在现实世界中工作从离岸软件工厂到财富100强企业不等。这些公司成功地使用了连续检测模型来管理项目的内部软件质量所有大小。
一个财富100强的公司与超过2万的开发商使用它管理超过6亿行代码, 在每天分析超过5000应用程序的环境中。
在所有情况下, 连续检查帮助这些公司大大提高了软件质量和稳定, 通常节省数百万美元, 否则将花费在根本原因分析和危机管理。
关于SonarSource连续检查
我们 SonarSource 的创始人, 非常熟悉传统模式的缺点,在其范围内工作多年。但随着持续集成的兴起, 我们设想了一个不同的模式是可能的。正如不断整合的变化多个开发人员防止集成头疼, 我们意识到不断应用质量门标准防止准时审计模型的问题。连续检测是代码质量管理的新范式, 旨在使内部软件质量是软件开发生命周期的一个组成部分。这是一个整体的, 完全实现提高项目内部软件质量和软件可视性的过程所有利益相关者的质量。连续的检查提供连续代码质量管理, 并且大大提高了开发项目的 ROI。连续检测的关键概念是发现early–when 修复它们的问题仍然是便宜和容易的。在这个模型下, 自动代码审核是每天执行并在组织内提供。这些客观、自动化的审计沿多个可维护性轴分析项目代码, 测试 bug, 并将其与团队进行比较编码标准。审核是通过工具来完成的, 它们直接在开发人员的环境, 很像微软 Word 中的拼写检查器。新的团队成员将尽快收到通知问题被发现, 所以他们可以尽快解决 sible–while 的代码仍然是新鲜的开发人员的想法。及时的这些警报有额外的好处, 培训程序员的坏习惯, 并引导他们到好的。持续的检查在开发团队中得到了基层的采纳, 因为它的协作自然导致真正的集体代码所有权, 并帮助团队提供更好的软件。与它的小,的问题识别和处理周期, 它已被证明增加开发团队效率, 通过促进高质量代码的开发来提高应用程序的使用寿命。持续检查的方面可以归纳为十原则。
代理商sonarqube价格-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来,我们坚持以“诚信为本,稳健经营”的方针,勇于参与市场的良性竞争,使“Loadrunner,Fortify,Webinspect”拥有良好口碑。我们坚持“服务至上,用户至上”的原则,使华克斯在行业软件中赢得了客户的信任,树立了良好的企业形象。 特别说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!
产品:华克斯
供货总量:不限
产品价格:议定
包装规格:不限
物流说明:货运及物流
交货说明:按订单