如何使用 SonarQube 改进工作流

twitter作为开发人员， 我不得不多次修复生产环境中的问题。有时，安徽sonarqube 规则， 我在代码之前没有看到任何错误， 而在其他时间， 我花了很多时间试图理解别人写的代码-更糟的是， 我把代码放到生产中， 在几个月后发现了安全漏洞。

很可能你也面对过这种情况。因此， 有一个工具， 可以帮助您在早期阶段检测到它们， 岂不是很棒吗？SonarQube 使这成为可能。在这篇文章中，代理商sonarqube 规则， 您将了解它如何帮助您清理代码并防止将来出现问题。

SonarQube 入门SonarQube 是一个开放源码的质量管理平台， 致力于不断分析和测量技术质量， 从早的计划阶段到生产。通过将静态和动态分析工具结合在一起， SonarQube 连续监视七轴上的代码， 如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。

SonarQube 是一种用于主要编程语言的代码分析器， 如 c/c++、JavaScript、Java、c#、PHP 或 Python， 等等。通常， 应用程序同时使用多种编程语言， 例如: Java、JavaScript 和 HTML 的组合。SonarQube 自动检测这些语言并调用相应的分析器。

SonarQube 现在是 Bitnami 目录的一部分。您可以或推出它与我们准备使用的云图像只需几次点击和开始使用它在您的所有项目。利用 Bitnami 图像的特点: 安全、xin、优化、一致等。

玩 SonarQube在这个 GitHub 的项目中， 您将找到一个用 JavaScript 编写的代码示例。目标: 向您展示如何将 SonarQube 合并到您的开发工作流中。存储库包含两个主文件夹 (源和测试)， 这样， 您就可以知道测试所涵盖的代码的百分比。

这个项目还包括一个声纳工程. 属性文件， 其中有一些配置参数需要配置 SonarQube， 如用户名， 密码， 语言等。

运行

$ 声纳-扫描仪在项目文件夹内， 这样就启动了第yi个扫描仪， 您可以在 web 界面中检查结果。

第yi次扫描

正如您在上面的截图中所看到的， 当前的代码有零 bug、零漏洞和六代码的气味。

我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的， 但是在日常的工作中， 这样的问题会在你没有意识到的情况下出现。

添加错误

再次运行扫描仪使用

$ 声纳-扫描仪如预期的那样， 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:

比较扫描

屏幕右侧将出现一个新节 (以黄色高亮显示)。SonarQube 处理两种状态: 当前状态 (以白色表示) 和xin更改。正如您在截图中所看到的， 上次扫描中引入的更改增加了一个 bug 和一个漏洞。SonarQube 评估每个部分的质量， 评分基于不同的参数， 一个是jia状态。在这种情况下， 引入 bug 导致 'bug' 部分从 a 传递到 C， '漏洞' 部分从 a 到 B。

您可以设置 '泄漏期间' 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。

让我们详细地看看 '覆盖率' 一节: 38.1% 是测试覆盖率 (正如您在 GitHub 存储库中看到的那样， 我对某些文件进行了测试， 但对于所有的文档都没有)。在黄色部分， 您可以看到新添加的行的覆盖率。以前， 为了添加错误， 我引入了一些新行， 但我没有为这些新行创建任何测试， 因此新的测试覆盖率为0%。此外， 点击覆盖范围， 我可以看到更多的信息的覆盖面， 例如: 覆盖的文件， 覆盖线的数量， 等等。

错误信息

通过这种快速而简单的分析 (您只需执行一个命令)， 您将能够防止出现在生产环境中的错误， 使代码保持安全并遵守jia做法和质量标准。在下面的迭代中， 我将致力于实现零 bug、漏洞和代码气味的目标。我还可以在测试中得到100% 的代码。一旦我的代码处于这种状态， 就很容易看出所做的更改是否引入了某种错误或坏的做法。

如何挤压 SonarQube正如您在上一节中看到的， 保持代码的良好状态非常简单。但是， 还有更多的发现。SonarQube 有很多很酷的集成。

分析方法可以在下列分析方法之间进行选择:

用于 MSBuild 的 SonarQube 扫描仪:. Net 项目的启动分析SonarQube 扫描器: maven 的启动分析和xiao配置SonarQube 扫描器 Gradle: 发射 Gradle 分析蚂蚁 SonarQube 扫描器: 蚂蚁发射分析詹金斯 SonarQube 扫描仪: 詹金斯发射分析SonarQube 扫描仪: 当其他分析器都不合适时， 从命令行启动分析插件另外， SonarQube 有一个更新中心与各种各样的插件组织入不同的类别， 一些有用的插件是:

代码分析器

SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成

GitHub 插件: 分析拉请求， 并指出问题作为评论。谷歌分析: 将 google 分析跟踪脚本添加到 SonarQube 的 web 应用程序中。单片机引擎

善变的: 增加对善变的支持。git: 添加对 git 的支持。SVN: 添加对 Subversion 的支持。身份验证和授权

GitHub 身份验证: 通过 GitHub 启用用户身份验证和单一登录。GitLab 身份验证: 通过 GitLab 启用用户身份验证和单一登录。谷歌认证: 启用用户身份验证授权到谷歌。读过这篇文章后， 你可能想尝试 SonarQube， 看看它是如何融入你的日常工作的。您可以直接从 Bitnami 目录或启动它。

快乐 (和安全) 编码!

SonarSource

实现和好处的典型大小

大型国际组织可以对1万多个项目进行分析， 并

分析650–700万行代码在14种语言与8000访问一天在网站上。

IDC 的一位客户正在跟踪1200项目， 其中有1.6亿行代码

通过 SonarQube 扫描， 再加上另外的300项目， 还有1.6亿行代码

被扫描。

另一位客户从二十几个项目到现在已注册的2230多个项目

用户有更多的匿名浏览仪表板。

为什么 SonarQube？

SonarQube 引用 IDC 的讲话需要一种测量和强制软件的方法

和代码质量指标。一个关键的目标是对代码质量进行量化测量， 并

分析这些指标来制定一套基准测量-主要是利用

鼓励良好做法的平台 (并劝阻坏的行为)。

在评估有竞争力的产品时， 他们寻找的是: 品质特征

分析提供 (如死代码分析、影响分析、跨平台分析);

支持的语言 (SonarSource 支持 20 +);代码评审的灵活性;和仪表板

产品和报告分析。服务组织还评估了基于

商业限制和参与限制。

SonarQube 的优点通常包括其整体易用性， 需要更少的时间来学习

并采取。与 SonarQube 的包装选项也有利于终用户和

服务提供商-'不附加任何字符串' 的企业许可证是对具有动态分发需求和服务提供者的终用户的帮助， 提供了能够利用的自由

SonarQube 灵活地作为订婚的一部分。

SonarQube 仍在发展其对影响分析的支持， 但同时一些客户

引用已创建解决此问题的变通方法。

使用 SonarQube 的好处

SonarQube 客户描述的功能在解决其

问题包括以下几个方面:

?代码和质量的能见度， 可以看到热点是在应用程序中

主动包括应用程序质量 '前端' 作为开发的初始和迭代部分

过程仪表板， 用户可以选择处境和

自定义报告。

?的能力， 以不同的层次整合的指标， 在各不相同的意见-在客户

级别， 在开发人员级别和/或业务单位级别-并将它们上卷成 '一个

真理之源 ';一个单一的门户/单点， 每个人都可以去看看他们

需要知道。

?经理/董事可以自定义和使用 SonarQube 来衡量

各个组-服务提供商可以为每个客户自定义仪表板

组织， 他们正在努力解决不同种类的需求和标准。

它们还可以增强现有规则并集成结果， 因为 SonarQube 给出了

这一水平的灵活性。同时， 组织必须注意不要使用

SonarQube 作为 '棍棒' 迫使 '好行为'-成功的公司有

利用信息鼓励更好的做法，代理商sonarqube 规则， 而不是建立 '墙

羞辱 '惩罚个人不良的编码行为。这意味着使用 SonarQube 作为

'诊断指标' 而不是 '基于结果的' 指标， 可以更好的推动成功。

?总的来说， 这些能力使客户能够管理和减轻技术债务

通过一个 cost-effective 的解决方案， 可以扩展到企业级， 并广泛

分布式.SonarQube 帮助组织对代码质量进行基准测试并了解

他们的组织是如何做， 以及他们如何能够和有改进的时间通过

定性和定量的信息。

SonarSource

如果您想知道项目使用的内部或外部库，则可能需要查看项目的内容，中国sonarqube 规则，包括pom.xml文件。如果您使用SonarQube，则不再是这种情况，因为库是一种组件，它会招募您的应用程序所依赖的组件，并且比手动搜索。

（以上是示例应用程序的截图）

也可以在任何仪表板上添加任何Widget（Widget是组成仪表板的组件），如下所示。

（以上是示例应用程序的截图）

问题向下钻

只是被告知某事是错误的，这里的分数是多少错误或不正确的东西，没有帮助。一个更有建设性的反馈是，这里有什么问题，这是你可以做些什么来解决它。

问题钻取是一个这样的仪表板，我们可以找到这样的信息或足以知道什么是错误，以及如何去修复它（有时）。它还存档较旧的和封闭的问题，并通过给出各种严重程度来表明问题是多么糟糕，即阻止信息。

（以上是上的示例应用程序的截图）

任何Dashboard页面右上角的“管理信息中心”选项（如下）用于创建可以放置小部件的新的信息中心页面。

同样，每个“仪表板”页面上的“配置”窗口小部件链接允许在“仪表板”页面的任何位置添加，删除或更改窗口小部件的位置。

（以上是Apache Comm Collection的截图）

标签或词云是一种非常受欢迎的概念，被大量用作可视化形式来传达指标 - 如上所示，这是Apache Comm Collection库的一个例证。

商业组件 - SQALE

SQALE是一个专有组件，社区版本不可用，尽管SonarQube的Nemo项目[07]提供了演示版本。 SQALE是一项技术债wu评估工具，更多细节可以在[08]找到。

华克斯-安徽sonarqube 规则由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司，公司位于：苏州工业园区新平街388号，多年来，华克斯坚持为客户提供好的服务，联系人：华克斯。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。华克斯期待成为您的长期合作伙伴！