代理商sonarqube 插件-華克斯信息

SonarSource 城市之旅2016丹切2016年5月26日在10:14pm今天我參加了倫敦 SonarSource 城市之旅。SonarSource 制作兩個 '連續(xù)代碼質(zhì)量' 工具: SonarQube;和 SonarLint。

雷迪森 sas 波特曼酒店舉辦的低調(diào)活動約50與會者。我們聽到了一些適當(dāng)?shù)募夹g(shù)介紹， 從奧利維爾 Gaudin， 弗雷迪槌， 和 SonarSource 的尼古拉斯秘魯和鄧肯波克林頓從微軟。

技術(shù)債wu這一天開了一個問題。誰負責(zé)代碼質(zhì)量？還是 QA？

是不加掩飾的: 開發(fā)商。

在某些情況下， 引入技術(shù)債wu是可以的， 但團隊需要了解他們所創(chuàng)建的問題的權(quán)衡和存在的程度。hao的方法是通過客觀和一致的測量。

'修復(fù)泄漏'知道你有問題是一回事。修理它是另一回事。

這一天的首要主題是 '修復(fù)泄漏': 當(dāng)你有一個漏水的管道， 你應(yīng)該先修復(fù)它還是先把它擦干凈？如果你不首先解決問題的根源， 那么清理就不是很有用。

(這對我來說特別的傷感， 因為我在家里的水管漏水， 所以我遲到了。

在實踐中， 這意味著設(shè)置一個質(zhì)量的酒吧 (或 '門' 的 SonarSource 行話) 新的變化， 但大多忽略現(xiàn)有的問題， 直到你得到控制的事情。

這似乎是一個不錯的方法， 有兩個原因:

它減少了在遺留的基本代碼上開始的摩擦力， 因為你可以假裝你是從一個干凈的石板開始;這是沙子上的一條線， 它為球隊的前進設(shè)定了期望。奧利維爾不厭其煩地強調(diào)， 有一個自動化的工具， 實施這種行為不會減輕你的教育團隊的jia做法。每一個指標(biāo)都可以博弈，河北sonarqube 插件， 所以你需要讓人們在船上的概念， 真正充分利用它。

SonarQubeSonarQube 度量您的代碼庫的可維護性、可靠性和安全性， 并跟蹤隨著時間的推移而改進。它還指出了代碼中特定的代碼氣味， 應(yīng)該是固定的。

SonarQube 是由超過75k 的公司使用的， 其中一些有數(shù)以千計的開發(fā)人員和數(shù)百萬行代碼。它成為事實上的代碼質(zhì)量工具， 因為它的介紹8年前， 超過其 Java 根現(xiàn)在支持超過20種語言。

弗雷迪給了我們一個簡要的特點， 從近的版本， 包括 v5.6 (將在幾個星期內(nèi)發(fā)布)。

值得注意的是， 現(xiàn)代化的體系結(jié)構(gòu)不再需要分析器和數(shù)據(jù)庫之間的直接連接。這一切都通過了一個網(wǎng)絡(luò)服務(wù)， 這是更明智的。

質(zhì)量評級也正在完善?，F(xiàn)有的 SQALE 度量對衡量項目的可維護性很有好處， 但它沒有考慮到問題的嚴重性。它也沒有真正與泄漏概念的網(wǎng)格。

在 SonarQube 5.6 中， SQALE 將重新命名為可維護性， 并且將為性、安全性和可靠性提供新的評級。將所有這些信息一起放在所有項目中將是一個新的治理儀表板 (一個商業(yè)插件)。

路線在工作中， 我們使用 gitflow。我們不想合并一個功能分支， 如果它會降低項目的質(zhì)量， 因此我們特別希望了解分支支持在 SonarQube 中將如何改進。

已經(jīng)有拉請求集成與 GitHub 和藏匿， 讓你知道什么時候合并會引入債wu。

但是， 目前在 SonarQube 內(nèi)部， 單獨的分支被視為單獨的項目。配置是重復(fù)的， 而且更糟糕的是， 每個功能分支都包含了主分支中的所有問題和債wu。

這是幸運的 SonarSource 的一個高優(yōu)先級， 雖然它不會被宣布時， 它將船舶。目標(biāo)是將項目的所有分支作為對主分支的比較。

群集是路線圖的一個令人驚訝的補充， 因為這看起來不像是一種需要支持大量負載的產(chǎn)品。然而， 一些真正巨大的設(shè)施確實存在于野外， 它可以利用多個 web 服務(wù)器與同一數(shù)據(jù)庫進行對話。

當(dāng)弗雷迪宣布 SonarQube 為服務(wù)時， 群集的隱藏議程變得清晰明了。這將是一個免費的開放源碼項目服務(wù)， 可以分析任何地方托管的項目 (雖然它需要一個 GitHub 帳戶進行身份驗證)。它將支持所有的內(nèi)置 SonarSource 插件， 但沒有第三方的。這對開源社區(qū)來說是一個好消息!

后， 我有機會問墻和集成系統(tǒng)， 如 JIRA。一般的意見是， 這些應(yīng)該處理外部 SonarQube 本身， 并集成使用的全功能的 rest API 暴露的 SonarQube。

SonarLintSonarLint 是您的 IDE (Eclipse、IntelliJ 或 Visual Studio) 的插件， 它在您鍵入時標(biāo)記代碼質(zhì)量問題。這個想法是為了防止泄漏之前， 他們共享與其他的研發(fā)

如何使用 SonarQube 改進工作流

twitter作為開發(fā)人員，中國sonarqube 插件， 我不得不多次修復(fù)生產(chǎn)環(huán)境中的問題。有時， 我在代碼之前沒有看到任何錯誤， 而在其他時間， 我花了很多時間試圖理解別人寫的代碼-更糟的是， 我把代碼放到生產(chǎn)中， 在幾個月后發(fā)現(xiàn)了安全漏洞。

很可能你也面對過這種情況。因此， 有一個工具， 可以幫助您在早期階段檢測到它們， 豈不是很棒嗎？SonarQube 使這成為可能。在這篇文章中， 您將了解它如何幫助您清理代碼并防止將來出現(xiàn)問題。

SonarQube 入門SonarQube 是一個開放源碼的質(zhì)量管理平臺， 致力于不斷分析和測量技術(shù)質(zhì)量， 從早的計劃階段到生產(chǎn)。通過將靜態(tài)和動態(tài)分析工具結(jié)合在一起， SonarQube 連續(xù)監(jiān)視七軸上的代碼， 如重復(fù)代碼、編碼標(biāo)準(zhǔn)、單元測試、復(fù)雜代碼、潛在 bug、注釋和設(shè)計以及體系結(jié)構(gòu)。

SonarQube 是一種用于主要編程語言的代碼分析器， 如 c/c++、JavaScript、Java、c#、PHP 或 Python， 等等。通常， 應(yīng)用程序同時使用多種編程語言， 例如: Java、JavaScript 和 HTML 的組合。SonarQube 自動檢測這些語言并調(diào)用相應(yīng)的分析器。

SonarQube 現(xiàn)在是 Bitnami 目錄的一部分。您可以或推出它與我們準(zhǔn)備使用的云圖像只需幾次點擊和開始使用它在您的所有項目。利用 Bitnami 圖像的特點: 安全、xin、優(yōu)化、一致等。

玩 SonarQube在這個 GitHub 的項目中， 您將找到一個用 JavaScript 編寫的代碼示例。目標(biāo): 向您展示如何將 SonarQube 合并到您的開發(fā)工作流中。存儲庫包含兩個主文件夾 (源和測試)， 這樣， 您就可以知道測試所涵蓋的代碼的百分比。

這個項目還包括一個聲納工程. 屬性文件， 其中有一些配置參數(shù)需要配置 SonarQube， 如用戶名， 密碼， 語言等。

運行

$ 聲納-掃描儀在項目文件夾內(nèi)， 這樣就啟動了第yi個掃描儀， 您可以在 web 界面中檢查結(jié)果。

第yi次掃描

正如您在上面的截圖中所看到的， 當(dāng)前的代碼有零 bug、零漏洞和六代碼的氣味。

我將修改源代碼以引入一個 bug 和一個漏洞。這一次是有意的， 但是在日常的工作中， 這樣的問題會在你沒有意識到的情況下出現(xiàn)。

添加錯誤

再次運行掃描儀使用

$ 聲納-掃描儀如預(yù)期的那樣，代理商sonarqube 插件， 將出現(xiàn)新的 bug 和漏洞。再次檢查分析以查看所做的更改:

比較掃描

屏幕右側(cè)將出現(xiàn)一個新節(jié) (以黃色高亮顯示)。SonarQube 處理兩種狀態(tài): 當(dāng)前狀態(tài) (以白色表示) 和xin更改。正如您在截圖中所看到的， 上次掃描中引入的更改增加了一個 bug 和一個漏洞。SonarQube 評估每個部分的質(zhì)量， 評分基于不同的參數(shù)， 一個是jia狀態(tài)。在這種情況下， 引入 bug 導(dǎo)致 'bug' 部分從 a 傳遞到 C， '漏洞' 部分從 a 到 B。

您可以設(shè)置 '泄漏期間' 來確定要進行比較的方式: 按時間或在每個掃描儀執(zhí)行之間。

讓我們詳細地看看 '覆蓋率' 一節(jié): 38.1% 是測試覆蓋率 (正如您在 GitHub 存儲庫中看到的那樣， 我對某些文件進行了測試， 但對于所有的文檔都沒有)。在黃色部分，代理商sonarqube 插件， 您可以看到新添加的行的覆蓋率。以前， 為了添加錯誤， 我引入了一些新行， 但我沒有為這些新行創(chuàng)建任何測試， 因此新的測試覆蓋率為0%。此外， 點擊覆蓋范圍， 我可以看到更多的信息的覆蓋面， 例如: 覆蓋的文件， 覆蓋線的數(shù)量， 等等。

錯誤信息

通過這種快速而簡單的分析 (您只需執(zhí)行一個命令)， 您將能夠防止出現(xiàn)在生產(chǎn)環(huán)境中的錯誤， 使代碼保持安全并遵守jia做法和質(zhì)量標(biāo)準(zhǔn)。在下面的迭代中， 我將致力于實現(xiàn)零 bug、漏洞和代碼氣味的目標(biāo)。我還可以在測試中得到100% 的代碼。一旦我的代碼處于這種狀態(tài)， 就很容易看出所做的更改是否引入了某種錯誤或壞的做法。

如何擠壓 SonarQube正如您在上一節(jié)中看到的， 保持代碼的良好狀態(tài)非常簡單。但是， 還有更多的發(fā)現(xiàn)。SonarQube 有很多很酷的集成。

分析方法可以在下列分析方法之間進行選擇:

用于 MSBuild 的 SonarQube 掃描儀:. Net 項目的啟動分析SonarQube 掃描器: maven 的啟動分析和xiao配置SonarQube 掃描器 Gradle: 發(fā)射 Gradle 分析螞蟻 SonarQube 掃描器: 螞蟻發(fā)射分析詹金斯 SonarQube 掃描儀: 詹金斯發(fā)射分析SonarQube 掃描儀: 當(dāng)其他分析器都不合適時， 從命令行啟動分析插件另外， SonarQube 有一個更新中心與各種各樣的插件組織入不同的類別， 一些有用的插件是:

代碼分析器

SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成

GitHub 插件: 分析拉請求， 并指出問題作為評論。谷歌分析: 將 google 分析跟蹤腳本添加到 SonarQube 的 web 應(yīng)用程序中。單片機引擎

善變的: 增加對善變的支持。git: 添加對 git 的支持。SVN: 添加對 Subversion 的支持。身份驗證和授權(quán)

GitHub 身份驗證: 通過 GitHub 啟用用戶身份驗證和單一登錄。GitLab 身份驗證: 通過 GitLab 啟用用戶身份驗證和單一登錄。谷歌認證: 啟用用戶身份驗證授權(quán)到谷歌。讀過這篇文章后， 你可能想嘗試 SonarQube， 看看它是如何融入你的日常工作的。您可以直接從 Bitnami 目錄或啟動它。

快樂 (和安全) 編碼!

SonarSource

5個工具可以幫助您編寫更好的Java代碼

在IDR解決方案方面，我們一直在尋找改進我們的Java PDF庫和我們的PDF到HTML5轉(zhuǎn)換器的方法。hao的方法是改進我們編寫的Java代碼，我們使用一些有用的工具來幫助我們改進代碼，也有助于提高生產(chǎn)力。

在本文中，我們將介紹我們在IDR Soluti中使用的5種的工具，以及如何幫助Java Developers編寫更好的代碼。我還撰寫了一篇針對更具體的領(lǐng)域的后續(xù)文章，這是一個幫助您進行Java性能調(diào)整的9種工具。

FindBugs的

umdFindbugsFindBugs是一個開放源代碼程序，根據(jù)Lesser GNU公共許可證的條款分發(fā)，并以Java字節(jié)碼而不是源代碼運行。

該工具使用靜態(tài)分析來幫助確定Java程序代碼中的數(shù)百種不同類型的錯誤，包括空指針解引用，遞歸循環(huán)，Java庫和死鎖的不良用法。

FindBugs主要用于識別大量應(yīng)用中的數(shù)百個嚴重缺陷，并且能夠確定潛在錯誤的嚴重性，并分為四個等級：

1scariest

2scary

3troubling

4of concern.