sonarqube安全审计-苏州华克斯信息

sonarsource 的产品和服务被各地的客户所使用。所有规模的组织都在使用来自 sonarsource 的产品和服务提高生产率， 降低风险， 终开发---的软件。sonarsource 的产品和服务被各地的客户所使用。

思科系统 (nasdaq: cisco) 是领xian的网络技术。思科拥有73460名员工和 q2 fy13 121亿美元的收入， 在各种技术领域， 包括安全、网络会议、路由: 边缘//接入、语音等方面都是市场的。思科 it 代表公司的工程部门， 负责提高开发人员的生产率， 并在持续交付、构建管理、代码---和部署方面实施jia做法。思科的目标是设计、实施和宣传的软件和维护工具。软件面临的关键挑战

今天， 思科将成为上 1 it 组织的轨道， 但有一段时间， 它无法管理软件可能是一个绊脚石。根据思科 it --- dhairya sanghvi 的数据， 使它进入和通过 qa 的代码的是一个问题。过去有许多与代码相关的问题， 随着时间的推移而不断升级， 花费了我们很多钱。部分问题是缺乏标准。我们曾经有开发团队以一种杂乱无章的方式进行代码---和非功能分析， sanghvi 说。没有信息存储或对缺陷数量有清晰的了解， 也无法看到随时间变化的方式。此外， 代码评审所采用的系统和流程没有标准化， 因为没有用于执行 (---) 的通用工具或规则集。开发团队正在使用各种工具进行静态分析和单元测试， 但他说， 思科需要将其转移到一个具有更成熟报告能力的工具上，sonarqube安全审计， 开发人员和管理层都可以对其进行解释。sonarqube 是一致的选择

sanghvi 说，sonarqube安全审计， 在寻找能够满足思科需求的工具的同时， 研究团队也在尝试将敏捷实践融入到思科 it 开发环境中。他说， 这支球队是以 sonarqube 的特点出售的， 但整合是关键的。sonarqube 是一个代码分析工具， 与詹金斯集成好， 我们去了， a-哈， sonarqube 它是这样的!sonarqube 是一致的选择。sanghvi 说， sonarqube 有 很多---特点， 但这些---:可自定义的规则集-sonarqube 中的可定制的配置文件是一个非常有用的灵活性， 考虑到我们的平台上有各种不同的粉笔和奶酪的团队， sanghvi 说。此外， 将 xml 规则 (从一个 sonarqube 实例转移到另一个) 和这些配置文件的继承能力都很容易使其成为的产品。项目组合管理-思科公司正在使用投资组合管理插件， 在整个企业中提供管理友好、个性化的指标。这给整个组织提供了很大的激励， 可以定期检查他们的进度， ---改进并采取行动来修复缺陷。时间机器– 趋势分析报告是 sonarqube 中da量的使用能力之一， 帮助我们说服许多项目团队采用该工具 sanghvi 说。能够看到我们的项目在很长一段时间内的---是关键的项目之一， 在您的阿森纳。当与项目组合管理插件结合使用时， 此功能为组织的性能提供了一个完整的窗口。在代码---和功能集成中节省了大量的资源时间

根据 sanghvi 的数据， 思科公司采用 sonarqube 的方法， 对这家企业来说是一个---的胜利。sonarqube 已经触发了三倍的业务影响， 我们已经看到了在每一个项目团队， 我们已经登上-交付 (时间到能力减少)， 工程 (改进) 和业务价值 (成本节约)。通过将代码分析转移到开发阶段并每天运行它， cisco it ---提高了代码， 并因此减少了紧急 bug 修复， 这 为组织节省了大量成本， sanghvi 说。在 plc 的早期阶段遇到的缺陷比以后被发现的要便宜得多。下一次大胜利是在代码---领域。现在， 每个团队都在同一个地方进行代码评审， 使用相同的工具和度量， sonarqube 提供了对关键缺陷度量的清晰和基于时间的可见性。由于 sonarqube 的日常代码分析，sonarqube安全审计， 在代码---和功能集成中节省了大量的资源时间。此外， sonarqube， 与其相关的概况和他们的客户

sonarqube中的旧版代码

虽然我不相信将数字放在源代码上，sonarqube（以前称为sonar）在开发过程中可能是一个非常有用的工具。它对您的团队执行一致的风格，已经发现了几个可能的错误，并且是一个---的工具：您可以浏览---行为，看看为什么某个表达式或代码块可能是一个问题。

为了---您的代码库保持一致状态，您还可以直接执行代码检入的任何---行为。其中一个问题是很多项目不是绿色项目你有很多现有的代码。如果您的---号码已经---，很难判断是否引入了新的---行为。

在这篇文章中，我将向您展示如何从现有代码的零违反行为开始，而不用触摸来源，jens schauder在他的---演讲中使用legacy teams的灵感来启发它。我们将根据文件中的行忽略所有---行为，因此如果有人触及该---行为将再次显示的文件，开发人员将负责修复旧版---行为。

关闭---插件

我们正在使用sonarqube的关闭---插件。可以为问题配置不同的排除模式。您可以为代码块定义正则表达式，这些代码块应该被忽略，或者在所有文件或行基础上停用---。

对于现有代码，您想忽略某些文件和行的所有---。这可以通过在文本区域中插入这样的方式来完成排除模式：

de.fhopf.a的kka.actor.indexingactor; pmd：signaturedeclarethrowsexception; [23]

这将排除在indexingactor类的第23行中抛出原始异常的---。再次分析代码时，这种---将被忽略。

通过api检索---

除了漂亮的仪表板之外，sonarqube还提供了一个可用于检索项目---的api。如果您不希望查找代码库中的所有现有---行为，并手动插入，您可以使用它自动生成排除模式。所有这些---都可以在/ api /---找到，例如http：//本地主机：9000 / api /违例。

我确定还有其他方法可以做，但是我使用jsawk来解析json响应（在ubuntu上，你必须安装spidermonkey而不是默认的js解释器。你必须自己编译，而且我必须使用一个特定的版本。叹了口气）。