如何使用 sonarqube 改进工作流
twitter作为开发人员, 我不得不多次修复生产环境中的问题。有时, 我在代码之前没有看到任何错误, 而在其他时间, 我花了很多时间试图理解别人写的代码-更糟的是, 我把代码放到生产中, 在几个月后发现了安全漏洞。
很可能你也面对过这种情况。因此, 有一个工具, 可以帮助您在早期阶段检测到它们, 岂不是很棒吗?sonarqube 使这成为可能。在这篇文章中, 您将了解它如何帮助您清理代码并防止将来出现问题。
sonarqube 入门sonarqube 是一个开放源码的管理平台, 致力于不断分析和测量技术, 从早的计划阶段到生产。通过将静态和动态分析工具结合在一起, sonarqube 连续监视七轴上的代码, 如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。
sonarqube 是一种用于主要编程语言的代码分析器, 如 c/c++、javasc ript、java、c#、php 或 python, 等等。通常, 应用程序同时使用多种编程语言,sonarqube 插件, 例如: java、javasc ript 和 html 的组合。sonarqube 自动检测这些语言并调用相应的分析器。
sonarqube 现在是 bitnami 目录的一部分。您可以或推出它与我们准备使用的云图像只需几次---和开始使用它在您的所有项目。利用 bitnami 图像的特点: 安全、xin、优化、一致等。
玩 sonarqube在这个 github 的项目中, 您将找到一个用 javasc ript 编写的代码示例。目标: 向您展示如何将 sonarqube 合并到您的开发工作流中。存储库包含两个主文件夹 (源和测试), 这样, 您就可以知道测试所涵盖的代码的百分比。
这个项目还包括一个声纳工程. 属性文件, 其中有一些配置参数需要配置 sonarqube, 如用户名, 密码, 语言等。
运行
$ 声纳-扫描仪在项目文件夹内, 这样就启动了第yi个扫描仪, 您可以在 web 界面中检查结果。
第yi次扫描
正如您在上面的截图中所看到的, 当前的代码有零 bug、零漏洞和六代码的气味。
我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的, 但是在日常的工作中, 这样的问题会在你没有意识到的情况下出现。
添加错误
再次运行扫描仪使用
$ 声纳-扫描仪如预期的那样, 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:
比较扫描
屏幕右侧将出现一个新节 (以黄色高亮显示)。sonarqube 处理两种状态: 当前状态 (以白色表示) 和xin更改。正如您在截图中所看到的, 上次扫描中引入的更改增加了一个 bug 和一个漏洞。sonarqube 评估每个部分的, 评分基于不同的参数, 一个是jia状态。在这种情况下, 引入 bug 导致 bug 部分从 a 传递到 c, 漏洞 部分从 a 到 b。
您可以设置 泄漏期间 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。
让我们详细地看看 覆盖率 一节: 38.1% 是测试覆盖率 (正如您在 github 存储库中看到的那样, 我对某些文件进行了测试, 但对于所有的文档都没有)。在黄色部分, 您可以看到新添加的行的覆盖率。以前, 为了添加错误, 我引入了一些新行, 但我没有为这些新行创建任何测试, 因此新的测试覆盖率为0%。此外, ---覆盖范围, 我可以看到更多的信息的覆盖面, 例如: 覆盖的文件,sonarqube 插件, 覆盖线的数量, 等等。
错误信息
通过这种快速而简单的分析 (您只需执行一个命令), 您将能够防止出现在生产环境中的错误, 使代码保持安全并遵守jia做法和标准。在下面的迭代中, 我将致力于实现零 bug、漏洞和代码气味的目标。我还可以在测试中得到100% 的代码。一旦我的代码处于这种状态, 就很容易看出所做的更改是否引入了某种错误或坏的做法。
如何挤压 sonarqube正如您在上一节中看到的, 保持代码的---状态非常简单。但是, 还有更多的发现。sonarqube 有很多很酷的集成。
分析方法可以在下列分析方法之间进行选择:
用于 msbuild 的 sonarqube 扫描仪:. net 项目的启动分析sonarqube 扫描器: maven 的启动分析和xiao配置sonarqube 扫描器 gradle: 发射 gradle 分析蚂蚁 sonarqube 扫描器: 蚂蚁发射分析詹金斯 sonarqube 扫描仪: 詹金斯发射分析sonarqube 扫描仪: 当其他分析器都不合适时, 从命令行启动分析插件另外, sonarqube 有一个更新中心与各种各样的插件组织入不同的类别, 一些有用的插件是:
代码分析器
sonarcfamily c/c++sonarphpsonarjssonarwebsonarjavacss集成
github 插件: 分析拉请求, 并---问题作为---。谷歌分析: 将 google 分析------添加到 sonarqube 的 web 应用程序中。单片机引擎
善变的: 增加对善变的支持。git: 添加对 git 的支持。svn: 添加对 subversion 的支持。身份验证和授权
github 身份验证: 通过 github 启用用户身份验证和单一登录。gitlab 身份验证: 通过 gitlab 启用用户身份验证和单一登录。谷歌: 启用用户身份验证授权到谷歌。读过这篇文章后, 你可能想尝试 sonarqube, 看看它是如何融入你的日常工作的。您可以直接从 bitnami 目录或启动它。
快乐 (和安全) 编码!
sonarsource 的产品和服务被各地的客户所使用。所有规模的组织都在使用来自 sonarsource 的产品和服务提高生产率, 降低风险, 终开发---的软件。silverpeas 已经能够实现新的功能和提高产品性能, 这已导致赢得越来越多的客户。silverpeas 是协作知识和内容管理的平台。写在爪哇, silverpeas 出生于 1999年, 在---时代的 j2ee。这是一个时代之前的框架, 当英雄编码没有测试或文件。结果是一个工作产品的支持下的混乱的定制框架, 是基于---的想法, 但执行不。随着时间的推移, 由于在产品的早期就做出了短视的设计决策,sonarqube 插件, 而且由于对其体系结构没有明确的愿景, 因此发展和维护代码变得越来越困难。技术--- = 责任
这种情况使我们很难跟上---的步伐, 保持市场的竞争力。使问题复杂化的是, 执行基本维护和实施新功能的高昂成本使得很难获得新客户。技术---代表了一个太大的负债。够了在 2009年, silverpeas 团队作出了一个激烈的决定: 现在是时候, 以现代化的架构和提高 silverpeas 的代码。但他们需要确切地知道如何, 什么, 以及在哪里重构之前, 他们可以继续。我们需要一个工具来支持我们的改变, silverpeas 软件---米格尔 moquillon 说。sonarqube (当时的声纳) 被选中来帮助我们获得正确的, 这些问题。通过它的分析工具和它的统一和可定制的界面, 我们有信息, 以确定我们必须执行的任务, 以减少技术---和提高代码的。这是我们的 gps 在--- silverpeas 的道路上。sonarqube 保持技术---控制
silverpeas 团队在 silverpeas 的现代化过程中选择了 sonarqube 这一关键角色, 部分原因是它是开源的, 就像 silverpeas 一样, 易于扩展, 但 sonarqube 也提供了一些功能 moquillon 说,sonarqube 插件, 团队发现引人注目的:统一和集中的仪表板一个统一和集中的仪表板, 其中呈现代码的主要指标: 一目了然是什么出错了, 什么是改进了, 很容易看到。简单的导航--一种简单的方法来导航到相关代码的不同指标: 很容易找到需要操作的代码部分.---的报告-在时间的指标演变的迹象: 我们可以估计我们的代码改进的努力。---的软件已导致越来越多的客户赢得
sonarsource 的解决方案有助于 silverpeas 的成功, 通过对关键问题提供持续和快速的反馈以及如何解决它们的建议。工作从坚实基地它的代码改进给它, silverpeas 团队已经能够实现新的功能, 并提高产品的鲁棒性和性能, 这已导致赢得越来越多的客户。今天, silverpeas 团队致力于将其软件保持在 sonarqube 的轨道上。moqillon 说, silverpeas 团队对 sonarqube 有信心, 因为 这是一个开源项目, 如 silverpeas, 因此, 我们是---其演变和。他赞扬 sonarqube 的定期发布时间表、易用性、易于安装以及与现有开发基础结构 (如连续集成服务器詹金斯) 和构建系统 maven 等集成的易用性。现在, sonarqube 分析运行每晚 silverpeas 的35.1万行代码, 由詹金斯触发的后期生成行动。开发人员和经理定期检查结果, 并采取行动解决问题的集体努力, 以维护和进一步提高 silverpeas 的软件。
sonarsource
使用 sonarqube 的更广泛的影响和机会
除了扫描之外, 一些组织看到的一个有趣的结果是, 个人
开始对 sonarqube 提供的信息采取行动, 以改变和---其
关于代码创建的行为。一些团队已经开始参与--
甚至兴奋-关于去和检查的因素, 如测试代码覆盖率, 并已能够
---提高。董事们使用了 sonarqube 的有关规则---的信息
教育团队如何改变---习惯以改进代码的创建。所以一个关键的结果
sonarqube 在这些组织使用的机会, 鼓励, 甚至推动
正确的行为。
一些组织通过强制将度量与构建集成在一起来帮助实现
和释放过程。这意味着必须满足某些标准, 以允许生成和
发布过程向前迈进。虽然你不能---人们普遍看待---的结果,
当项目截止时间和软件发布日期出现下滑时, 有机会使用
具有特定数据点和基准的工程经理了解
以前的工作。(组织这样做是明智的, 他们在制定的标准
停止生成和发布过程。
总的来说, 一个实实在在的好处是测试覆盖率翻了一番, 一些测试
使用 sonarqube 的组件团队。一些组织已经观察到测试团队的覆盖率
单元测试的4-5 时间的增加, 以及那些的和严谨的改进
使用 sonarqube 完成单元测试。这反过来又有助于驱动精que的基准
团队的进步伴随着更高的代码的交付。
简而言之, sonarqube 可以为基本代码分析提供一个单一的点, 其中用户来自
开发人员可以去看看他们需要知道什么来帮助提高代码,
可能与代码评审工具集成, 以便在仪表板中包含代码评审指标。
sonarqube 的挑战
sonarsource 的关键挑战之一是让企业相信---率的好处
实现和使用代码分析解决方案。在这方面的问题的一部分是, 它的
在许多公司的时候, 组织要理解长期利益是有挑战性的
正在寻求快速的、迭代的部署。因此, 重要的是要了解长期利益
在代码的有效期内, 而不仅仅是短期的优势 (这是
在他们自己的方式显着, 但不是战略)。产品的演变, 以解决功能
诸如影响分析和跨平台分析等功能也是
sonarsource 需要集中, 根据客户。与代码---工具的集成也
被提及作为未来焦点的区域。
sonarsource 的小规模可能是企业部署决策采用的一个障碍。但是,
事实上, 基本产品是开源的, 通常跳转开始采用的初始使用, 并
也为企业使用商业产品提供了一些---。企业
在的部署中显示采用 sonarqube 的客户也有助于
让那些---产品组合的能力被广泛采用的人打消疑虑。
苏州华克斯-sonarqube 插件由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有---的声誉。华克斯取得---商盟,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/285726920.html
关键词:
滇公网安备 53011202000392号