SonarSource 的产品和服务被世界各地的客户所使用。所有规模的组织都在使用来自 SonarSource 的产品和服务提高生产率, 降低风险, ***终开发更好的软件。SONARSOURCE 的产品和服务被世界各地的客户所使用。

思科系统 (NASDAQ: cisco) 是***领xian的网络技术。思科拥有73460名员工和 Q2 FY13 121亿美元的收入, 在各种技术领域, 包括安全、网络会议、路由: 边缘/***/接入、语音等方面都是市场的***。服务包括开发、技术支持、咨询和培训,旨在帮助企业获得长期利益。思科 IT 代表公司的工程部门, 负责提高开发人员的生产率, 并在持续交付、构建管理、代码审查和部署方面实施***jia做法。思科的目标是设计、实施和宣传***的软件质量和维护工具。软件质量面临的关键挑战

今天, 思科将成为世界上 1 it 组织的轨道, 但有一段时间, 它无法管理软件质量可能是一个绊脚石。根据思科 it 工程师 Dhairya Sanghvi 的数据, 使它进入和通过 QA 的代码的质量是一个问题。过去有许多与代码相关的问题, 随着时间的推移而不断升级, 花费了我们很多钱。现有的SQALE度量对衡量项目的可维护性很有好处,但它没有考虑到问题的严重性。部分问题是缺乏标准。"我们曾经有开发团队以一种杂乱无章的方式进行代码审查和非功能分析," Sanghvi 说。"没有信息存储或对缺陷数量有清晰的了解", 也无法看到质量随时间变化的方式。此外, "代码评审所采用的系统和流程没有标准化, 因为没有用于执行 (审查) 的通用工具或规则集"。开发团队正在使用各种工具进行静态分析和单元测试, 但他说, "思科需要将其***转移到一个具有更成熟报告能力的工具上, 开发人员和管理层都可以对其进行解释。SONARQUBE 是一致的选择

Sanghvi 说, 在寻找能够满足思科需求的工具的同时, 研究团队也在尝试将敏捷实践融入到思科 it 开发环境中。他说, 这支球队是以 SonarQube 的特点出售的, 但整合是关键的。"SonarQube 是一个代码分析工具, 与詹金斯集成好, 我们去了, ' a-哈, SonarQube 它是这样的!SonarQube 是一致的选择。Sanghvi 说, SonarQube 有 "很多伟大的特点", 但这些突出:可自定义的规则集-"SonarQube 中的可定制的质量配置文件是一个非常有用的灵活性, 考虑到我们的平台上有各种不同的粉笔和奶酪的团队," Sanghvi 说。6中,SQALE将重新命名为可维护性,并且将为性、安全性和可靠性提供新的评级。"此外, 将 xml 规则 (从一个 SonarQube 实例转移到另一个) 和这些配置文件的继承能力都很容易使其成为***的产品。项目组合管理-思科公司正在使用投资组合管理插件, 在整个企业中提供管理友好、个性化的质量指标。这给整个组织提供了很大的激励, 可以定期检查他们的进度, 跟踪改进并采取行动来修复质量缺陷。时间机器– "趋势分析报告是 SonarQube 中***da量的使用能力之一, 帮助我们说服许多项目团队采用该工具" Sanghvi 说。"能够看到我们的项目在很长一段时间内的质量改善是***关键的项目之一, 在您的阿森纳。当与项目组合管理插件结合使用时, 此功能为组织的性能提供了一个完整的窗口。在代码审查和功能集成中节省了大量的资源时间

根据 Sanghvi 的数据, 思科公司采用 SonarQube 的方法, 对这家企业来说是一个巨大的胜利。"SonarQube 已经触发了三倍的业务影响, 我们已经看到了在每一个项目团队, 我们已经登上-交付*** (时间到能力减少), 工程*** (质量改进) 和业务价值 (成本节约)。通过将代码分析转移到开发阶段并每天运行它, Cisco it 大大提高了代码质量, 并因此减少了紧急 bug 修复, 这 "为组织节省了大量成本", Sanghvi 说。在语言方面,SonarQube支持分析Java的***,但也有超过20语言,如COBOL、c++、PL/SQL和c#通过plug-ins(开源或商业)因为报告引擎是语言不可知的。"在 PLC 的早期阶段遇到的缺陷比以后被发现的要便宜得多。下一次大胜利是在代码审查领域。现在, 每个团队都在同一个地方进行代码评审, 使用相同的工具和度量, SonarQube 提供了对关键缺陷度量的清晰和基于时间的可见性。由于 SonarQube 的日常代码分析, 在代码审查和功能集成中节省了大量的资源时间。此外, "SonarQube, 与其相关的质量概况和他们的客户

SonarSource

代码质量是一个不断增长的市场, 它是分析师对其大规模采用和大量投资回报的雷达。

介绍麦凯布的圈复杂度长期以来一直是事实上的标准测量方法的控制流的复杂性。它***的目的是 "确定软件模块将很难测试或维护 "[1], 但当它准确地计算***xiao的测试用例需要完全覆盖的方法, 它不是一个令人满意的测量理解。这是因为具有相等圈复杂度的方法不一定存在同样的困难, 维护, 导致一种感觉,测量 "啼狼" 由 over-valuing 一些结构, 而 under-valuing 其他构造.同时, 圈复杂度不再是全mian的。持续的检查提供了改进的质量对开发过程和时间线的***xiao中断。制定的Fortran 环境在 1976年, 它不包括现代语言结构, 如尝试/捕zhuo,和 lambda。***后, 因为每个方法都有一个***xiao的圈复杂度得分, 它是不可能知道任何具有高聚合圈复杂度的给定类是否一个大的、易于维护的域类, 或一个具有复杂控制流的小类。在类级别之外, 人们普遍承认, 圈复杂度的分数应用程序与它们的代码总计行相关联。换言之, 圈复杂度是在方法级别上很少使用。作为对这些问题的一种补救, 认知复杂性已经被制定来解决现代语言结构, 并产生的价值是有意义的类和应用程序级别。更重要的是, 它背离了基于数学模型, 使其能够产生控制流的评估, 对应于程序员的直觉的精神, 或认知的努力, 需要了解这些流动.

SonarSource交付管道, 

持续的交付和 DevOps 是众所周知的和广泛传播的做法现在。人们普遍认为, 重要的是组建伟大的团队, 首先定义共同的目标, 然后选择和整合***适合于给定任务的工具。虽然SonarQube可以在战shu上用于一次性审计,但它可以更具战略性地利用作为一个共享的,共同的信息来源的质量分析正如刚才所描述的,以帮助支持代码质量的持续改进策略。通常, 它是一个轻量级工具的混搭, 它们集成在一起建立连续的交付管道并支持 DevOps 的计划。在这个博客文章中, 我们放大到了整个管道的一个重要部分, 这就是经常被称为连续检查的学科, 它包括检查代码并在上面注入一个质量门, 并显示在达到质量门后如何上传工件。DevOps 的启用工具包括詹金斯、SonarQube 和 Artifactory。

的用例你已经知道质量不能在事后被注入, 而是从一开始就应该是过程和产品的一部分。作为一种常用的良好做法, 强烈建议您尽快检查代码并使结果可见。在某些情况下,引入技术债wu是可以的,但团队需要了解他们所创建的问题的权衡和存在的程度。因为 SonarQube 是一个很好的选择。但 SonarQube 不只是运行在任何孤立的岛屿, 它是集成在一个输送管道。作为管道的一部分, 代码被检查, 并且仅当代码根据定义的要求是好的, 换句话说: 它满足质量门, 被建立的工件被上传到二进制存储库管理器。

让我们考虑下面的场景。其中一个繁忙的开发人员必须修复代码, 并检查对中央版本控制系统的更改。此IDC技术聚焦讨论了服务提供商的策略,以改进软件分析、缺陷管理、安全性和度量的方法,从而通过主动可见性来获得业务和IT好处。白天很长, 晚上很短, 而且对所有团队的承诺, 开发人员没有检查本地沙箱中代码的质量。幸运的是, 有构建引擎詹金斯作为一个单一的真理点, 实现交付管道与其本地管道功能, 并作为一个方便的巧合 SonarQube 有支持詹金斯管道。

此更改将触发管线的新运行。哦不！生成管线中断, 并且未进一步处理更改。在下面的图像中, 您会看到已定义的质量门被忽略。可视化是由詹金斯蓝色海洋完成的。

01 PipelineFailedBlueOcean

SonarQube 检验潜在的问题是什么？我们可以打开 SonarQube 的 web 应用程序并深入查找。在 Java 代码中, 显然没有将字符串文本放在右侧。

02发现

在团队会议中, 决定将其定义为一个阻止程序, 并相应地配置 SonarQube。此外, 建立了一个 SonarQube 质量门, 以打破任何建设, 如果一个拦截qi被确定。现在让我们快速查看代码。是的, SonarQube 是对的, 下面的代码段有问题。

03 FindingVisualizedInCode

我们不希望详细讨论所有使用的工具, 也涵盖完整的詹金斯构建工作将超出范围。但有趣的提取这里的检查方面是在詹金斯管道 DSL 中定义的以下阶段:

配置. xml: SonarQube 检查阶段 ("SonarQube 分析") {withSonarQubeEnv ("声纳") {mvn 组织 sonarsource 扫描仪. maven: 声纳-maven-插件: 3.3. 0.603: 声纳 +"-f 所有/pom" xml +"-Dsonar projectKey = com. huettermann: 全部: 主" +"-Dsonar" 登录 = $ SONAR_UN +"-Dsonar" 密码 = $ SONAR_PW +"-Dsonar" 语言 = java +"-Dsonar。' 的+"-Dsonar。' 的+-Dsonar 测试. 夹杂物 = ** 测试 *** +"-Dsonar. 排除/**/** 测试 ***"}}用于运行 SonarQube 分析的***阶段。允许选择要与之交互的 SonarQube 服务器。运行和配置扫描仪, 许多可用的选项, 请检查文档。SonarQube是用java编写的,但它可以通过插件分析和管理超过20编程语言的代码,包括c/c++、PL/SQL、Cobol等。许多选项可用于集成和配置 SonarQube。请参阅文档中的替代方案。同样适用于其他覆盖的工具。SonarQube 质量门作为詹金斯管线阶段的一部分, SonarQube 配置为运行和检查代码。但这仅仅是第yi部分, 因为我们现在还想添加质量门, 以打破构建。下一阶段正好涵盖了这一点, 请参阅下一片段。管道被暂停, 直到质量门被计算, 特别是 waitForQualityGate 步骤将暂停管道, 直到 SonarQube 分析完成并返回质量门状态。如果遗漏了质量门, 则生成将中断。