• 静态代码扫描 SonarQube


    SonarQube简介

    SonarQube是一个代码质量管理开放平台,它集成了数千种自动的静态代码分析规则

    以python为例,典型的静态代码分析规则:

    l  "break" and "continue" should not be used outside a loop

    l  "yield" and "return" should not be used outside functions

    l  Methods and field names should not differ only by capitalization

     

    旨在提高开发人员的代码质量和安全性,使得开发人员编写更加干净,更加安全的代码。主要提供了三个比较大的功能:

    • 代码可靠性支持:提前捕获和提示代码中的错误,从而避免未定义的行为影响到终端用户。
    • 应用安全支持:修复可能危害到应用程序的漏洞,并通过安全热点学习AppSec(简单理解就是会学习和识别新的漏洞)。
    • 技术债务支持:确保管理的代码库干净并且可维护,以便提高开发人员的开发效率。

    目前SonarQube支持27种编程语言,基本上覆盖了当前主流的编程语言编写的项目:

    上面谈到的功能可能比较泛,实际上,研发团队可以基于SonarQube做下面的事情:

    • CI/CD流程加入一个SonarQube扫描的环节。
    • 实施代码质量阈值,只有通过了这个质量阈值检测才能进入下一个流程。
    • 代码质量低于阈值的项目要及时调整对应的代码。

    质量阈值可以进行自定义,SonarQube中针对每个项目会有详细的面板信息,里面会给出项目当前的健康状态,不同级别漏洞的分类和明细,漏洞对应提交者等多维度的统计信息,方便进行问题的追踪和修复。举个例子,笔者在上一家公司项目上线需要跑一个流水线,而SonarQube设定了不同等级的阈值,对于老项目,会使用最低等级的阈值:阻断性的错误数量要求为0,对于一些新的项目,则严格要求质量如严重性的错误要求为0等,只要无法通过质量阈值检查,那么项目是无法上线的。

  • 相关阅读:
    练习_Python3 爬取笔趣阁最新小说章节
    Python3 map()函数
    Java图片验证码生成
    神经网络
    leetcode
    hive开发规范
    北明数科 bug
    JAVA集合~
    令人头痛的JVM
    重定向和管道符
  • 原文地址:https://www.cnblogs.com/howmanyk/p/13470300.html
Copyright © 2020-2023  润新知