苏州华克斯-sonarqube静态安全扫描工具

sonarqube中的旧版代码

虽然我不相信将数字放在源代码上，sonarqube（以前称为sonar）在开发过程中可能是一个非常有用的工具。它对您的团队执行一致的风格，已经发现了几个可能的错误，并且是一个---的工具：您可以浏览---行为，看看为什么某个表达式或代码块可能是一个问题。

为了---您的代码库保持一致状态，您还可以直接执行代码检入的任何---行为。其中一个问题是很多项目不是绿色项目你有很多现有的代码。如果您的---号码已经---，很难判断是否引入了新的---行为。

在这篇文章中，我将向您展示如何从现有代码的零违反行为开始，而不用触摸来源，jens schauder在他的---演讲中使用legacy teams的灵感来启发它。我们将根据文件中的行忽略所有---行为，因此如果有人触及该---行为将再次显示的文件，开发人员将负责修复旧版---行为。

关闭---插件

我们正在使用sonarqube的关闭---插件。可以为问题配置不同的排除模式。您可以为代码块定义正则表达式，这些代码块应该被忽略，或者在所有文件或行基础上停用---。

对于现有代码，您想忽略某些文件和行的所有---。这可以通过在文本区域中插入这样的方式来完成排除模式：

de.fhopf.a的kka.actor.indexingactor; pmd：signaturedeclarethrowsexception; [23]

这将排除在indexingactor类的第23行中抛出原始异常的---。再次分析代码时，这种---将被忽略。

通过api检索---

除了漂亮的仪表板之外，sonarqube还提供了一个可用于检索项目---的api。如果您不希望查找代码库中的所有现有---行为，并手动插入，您可以使用它自动生成排除模式。所有这些---都可以在/ api /---找到，例如http：//本地主机：9000 / api /违例。

我确定还有其他方法可以做，但是我使用jsawk来解析json响应（在ubuntu上，你必须安装spidermonkey而不是默认的js解释器。你必须自己编译，而且我必须使用一个特定的版本。叹了口气）。

sonarsource交付管道， 

持续的交付和 devops 是众所周知的和广泛传播的做法现在。人们普遍认为， 重要的是组建---团队， 首先定义共同的目标， 然后选择和整合适合于给定任务的工具。通常， 它是一个轻量级工具的混搭，sonarqube静态安全扫描工具， 它们集成在一起建立连续的交付管道并支持 devops 的计划。在这个博客文章中， 我们放大到了整个管道的一个重要部分， 这就是经常被称为连续检查的学科，sonarqube静态安全扫描工具， 它包括检查代码并在上面注入一个门， 并显示在达到门后如何上传工件。devops 的启用工具包括詹金斯、sonarqube 和 artifactory。

的用例你已经知道不能在事后被注入， 而是从一开始就应该是过程和产品的一部分。作为一种常用的---做法， ---建议您尽快检查代码并使结果可见。因为 sonarqube 是一个---的选择。但 sonarqube 不只是运行在任何孤立的岛屿， 它是集成在一个输送管道。作为管道的一部分， 代码被检查， 并且仅当代码根据定义的要求是好的， 换句---: 它满足门， 被建立的工件被上传到二进制存储库管理器。

让我们考虑下面的场景。其中一个繁忙的开发人员必须修复代码， 并检查对中央版本控制系统的更改。白天很长， 晚上很短， 而且对所有团队的承诺， 开发人员没有检查本地沙箱中代码的。幸运的是， 有构建引擎詹金斯作为一个单一的真理点， 实现交付管道与其本地管道功能， 并作为一个方便的巧合 sonarqube 有支持詹金斯管道。

此更改将触发管线的新运行。哦不！生成管线中断， 并且未进一步处理更改。在下面的图像中， 您会看到已定义的门被忽略。可视化是由詹金斯蓝色海洋完成的。

01 pipelinefailedblueocean

sonarqube 检验潜在的问题是什么？我们可以打开 sonarqube 的 web 应用程序并深入查找。在 java 代码中， 显然没有将字符串文本放在右侧。

02发现

在团队会议中， 决定将其定义为一个阻止程序， 并相应地配置 sonarqube。此外， 建立了一个 sonarqube 门， 以---任何建设， 如果一个拦截qi被确定。现在让我们快速查看代码。是的， sonarqube 是对的， 下面的代码段有问题。

03 findingvisualizedincode

我们不希望详细讨论所有使用的工具， 也涵盖完整的詹金斯构建工作将超出范围。但有趣的提取这里的检查方面是在詹金斯管道 dsl 中定义的以下阶段:

配置. xml: sonarqube 检查阶段 (sonarqube 分析) {withsonarqubeenv (声纳) {mvn 组织 sonarsource 扫描仪. maven: 声纳-maven-插件: 3.3. 0.603: 声纳 +-f 所有/pom xml +-dsonar projectkey = com. huettermann: 全部: 主 +-dsonar 登录 = $ sonar_un +-dsonar 密码 = $ sonar_pw +-dsonar 语言 = java +-dsonar。 的+-dsonar。 的+-dsonar 测试. 夹杂物 = ** 测试 --- +-dsonar. 排除/**/** 测试 ---}}用于运行 sonarqube 分析的阶段。允许选择要与之交互的 sonarqube 服务器。运行和配置扫描仪， 许多可用的选项， 请检查文档。许多选项可用于集成和配置 sonarqube。请参阅文档中的替代方案。同样适用于其他覆盖的工具。sonarqube 门作为詹金斯管线阶段的一部分， sonarqube 配置为运行和检查代码。但这仅仅是第yi部分， 因为我们现在还想添加门， 以---构建。下一阶段正好涵盖了这一点， 请参阅下一片段。管道被暂停， 直到门被计算， ---是 waitforqualitygate 步骤将暂停管道， 直到 sonarqube 分析完成并返回门状态。如果遗漏了门， 则生成将中断。