51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

原来代码的质量也可以被检测:初探 SonarQube

作者:前端小智
开发 前端
SonarQube 是一套基于 Java 开发的代码检测以及质量管理平台,由于这套工具是用 Java 开发的原因,所以大家要先记得去安装 **Java Development Kit(JDK)**,这样后续才能顺利的启动 SonarQube。

前言

最近在自学 DevOps 的过程中,发现除了要了解基本的 CI/CD 流程外,更重要的是了解可以利用哪些工具来辅助整个 CI 的流程,今天来介绍一个好用的代码检测平台:SonarQube。

虽然在现今的开发很多时候都会藉由 code review 搭配各式的 linter 进行开发,但百密总有一疏,这时候就可以透过 SonarQube 帮助开发者检查一些潜在的 bug,这些 bug 有可能在开发时 linter 并没有报错,而且在 code review 时可能也不小心漏看了,假如可以在 CI 的流程中加上 SonarQube 来扫描整个 codebase,这时候就可以让整个项目的代码有更高的品质。

什么是 SonarQube

SonarQube 是一套基于 Java 开发的代码检测以及质量管理平台,由于这套工具是用 Java 开发的原因,所以大家要先记得去安装 **Java Development Kit(JDK)**,这样后续才能顺利的启动 SonarQube。

SonarQube 也提供了不少的服务像是:

  • 网页化操作
  • 支持非常多种程序语言的分析检测
  • 提供代码重复性、潜在 bug、测试覆盖率等等相关报告
  • 提供自动化分析并且结合主流的 CI 工具
  • 提供代码改善建议
  • 整合 JIRA、Mantis、LDAP、Fortify 等外部工具
  • 提供历史纪录以利于后续追踪

由于 SonarQube 提供太多种服务了,这里只列出几点个人觉得最值得提出来与大家分享的内容,有兴趣的读者可以再自行去官网上面进行相关的资料阅读。

启动 SonarQube

由于我是使用 mac 系统,因此这边以 mac 的操作方式进行介绍,首先可以在终端机中进入 /bin/macosx-unversal-64 的文件夹,并下 ./sonar.sh start 这个指令启动 SonarQube 的服务。

图片

启动服务后可以在浏览器打上 localhost:9000 即可开启 SonarQube 的网页,预设的帐号及密码都是 admin ,输入后即可在 local 端开始使用 SonarQube 提供的检测服务喽。

图片

SonarQube 操作说明

登入后就可以开始进行 Project 创建了,这边的 Project 主要是方便开发者可以进行项目品质的控管,创立好 Project 才可以开始针对想要检测的 repository 进行检测。

图片

我们也可以看到 SonarQube 整合了非常多用来创建项目的主流工具例如 GitHub、Jira 等等,假如读者本身是有在使用这些工具进行项目的管理也可以直接整合现有的架构,这边为了方便介绍所以选择手动创建 Project。

图片

建立好 Project 后可以看到 SonarQube 也支持许多主流平台的 CI 机制,这里也是为了方便介绍所以选择手动测试 local repository。

图片

想要进行分析检测之前还需要产生一组 private token,利用这组 token 我们在之后进行检测时可以确保检测的结果会摆在这个 project 内。

图片

之后就可以选择要检测的代码是属于哪种语言以及目前电脑的 OS,都选择完后可以去官网上下载最重要的分析工具 SonarScanner,这套 scanner 就是负责检测代码的工具。

图片

下载完后就可以複制下方的指令进行代码的检测啦!

图片

SonarScanner 检测结果

在上面的步骤检测完后,我们回到 SonarQube 的平台就可以看到刚刚建立的 project 已经有了初步的检测报告,假如代码都没有什麽潜在的问题就可以看到报告会是绿色 Passed 的状态。

图片

但假如代码有潜在的问题,这时候报告就会出现红色的 Failed 并且指出有几个 bug 产生。

图片

接著点击 issues tab 就可以看到目前潜在的 bug 是从哪个档案的哪一行中产生。

图片

再点进去后就会看到潜在的 bug 的错误讯息,我们可以发现 array 的长度一定会是大于等于 0 可是我这边却写了小于 0,所以这个 if 判断条件永远都不会通过。

图片

但我们回到代码后可以发现即便我们有安装 linter 也不会检查出这种看起来就是有问题的写法,因为 linter 通常都是在检查语法上的错误,这时候 SonarScanner 就帮助了我们可以进行更深入的检查。

图片

SonarScanner 配置

其实 SonarScanner 也可以进行一些自定义的配置,这时候就需要建立一个叫 sonar-project.properties 的文件,这份文件裡面可以设定一些 SonarScanner 提供的 analysis parameter,由于这些配置参数实在是太多了,所以这里不会一一介绍,有兴趣的读者可以参考官网,裡面有所有参数的详细介绍,整体写法会像下图这样:

图片

总结

这次介绍了 SonarQube 这套代码检测平台,由于笔者本身是一位前端工程师,因此只会利用 ESLint 或者 TSLint 进代码但程式码还会有一些潜在的 bug 可能是这些 linter 无法检查出来的,这时候 SonarQube 就起了一个很大的作用,帮助我们在开发时可以进行更深入的解析,假如读者未来有要做一些 CI 流程的话,不妨也可以把 SonarQube 考虑进去喔。

作者:Andy Chen

译者:小智  

来源:medium

原文:https://medium.com/starbugs/%E5%8E%9F%E4%BE%86%E7%A8%8B%E5%BC%8F%E7%A2%BC%E5%93%81%E8%B3%AA%E4%B9%9F%E5%8F%AF%E4%BB%A5%E8%A2%AB%E6%AA%A2%E6%B8%AC-%E5%88%9D%E6%8E%A2-sonarqube-14e99687806e

责任编辑:武晓燕 来源: 大迁世界
SonarQube代码Java
相关推荐
搭建Sonarqube 代码质量扫描环境
我们主要使用bitnami维护的镜像,下面我们就使用docker镜像来按照postgresql和sonarqube。

2022-02-17 09:41:04

bitnamidockersonarqube
代码质量难评估?一文带你用 SonarQube 分析代码质量
如果你的项目是多模块的结构,那么在运行分析命令之前需要先运行​​mvninstall​​命令。同样在SonarSourcesonarscanningexamples下面有Sonar官方提供的​​mavenmultimodule​​示例项目,我们以这个项目为例来讲讲如何扫描多模块项目。

2023-04-20 08:01:13

Windows 7美化原来可以这么简单
系统美化相信不少朋友在以前使用XP的时候就已经接触过了。从Vista时代开始,Windows的Aero功能已经使系统的整体风格往更为华丽的方向发展,Windows7也同样如此。如果你对Windows7美化还不甚了解的话,今天就跟着这篇文章对Windows7的美化有个初步认识吧。

2010-08-02 13:55:20

Android NDK初探可以做移动开发
本文将为各位详细介绍AndroidNDK的安装、使用和实战。由浅入深,你也可以成为一名Android开发者!

2010-08-11 10:58:06

AndroidAndroid NDK
意外风景 原来数据中心可以如此美丽
众所周知,数据中心的能耗相当大,在现在的经济环境下,企业更加关注投入产出率,更加严格的控制预算和成本。绿色节能已成为数据中心的重要发展方向,数据中心每年用在通风散热方面资金非常庞大,使得人们开始利用自然环境对数据中心进行通风散热,如风和水。这样不仅可以节约成本,还可以减小环境污染。

2015-09-07 10:04:11

数据中心数据中心优化
一篇带给你SonarQube部署及代码质量扫描
如果通过SonarScanner进行代码扫描的话需要下载SonarScanner的安装包,如果通过Maven或者Sonarlint进行则不需要。

2023-07-06 08:22:49

SonarQubeToken
原来 CSS 渐变可以只用一个颜色
CSS渐变是CSS中最灵活的特性,没有之一。掌握CSS渐变的技巧对提升CSS水平有很大的帮助,渐变如何学习?

2023-07-17 09:19:20

CSSCSS 渐变
微服务部署—配置Jenkins+SonarQube进行代码质量检查
SonarQube可以集成到许多流行的编程语言和集成开发环境中,帮助开发人员创建高质量的软件项目。SonarQube以及依赖环境软件的安装已经在此系列文章的第一篇写过,这里只介绍如何配置和使用Jenkins+SonarQube进行代码质量检查。

2023-10-12 09:13:14

可怕,原来 HTTPS 没用
HTTPS,也称作HTTPoverTLS,TLS前身是SSL,会有各个版本。

2021-01-20 13:15:09

HTTPS加密网址
沙箱突破 原来Chrome不完全靠谱(附视频)
法国安全公司利用了谷歌浏览器的漏洞,绕过其沙箱安全功能,ASLR和DEP能力。谷歌浏览器Chrome的沙箱安全技术,旨在阻止恶意代码渗入系统进程,已被VUPEN安全公司的研究人员的绕开(compromisedbyresearchersatVUPENSecurity)。

2011-05-12 10:49:39

使用SonarQube追踪代码问题
通过不断分析代码以了解潜在的质量问题,开源的SonarQube项目支持了DevOps的“尽早发布和经常发布”的思维模式。SonarQube它是一个开源平台,通过代码的自动化静态分析不断的检查代码质量。SonarQube支持20多种语言的分析,并在各种类型的项目中输出和存储问题。

2018-11-14 10:20:15

SonarQube开源追踪代码
SonarQube代码扫描与代码基线关联
本篇给大家介绍SonarQube代码扫描与代码基线的相关知识,代码扫描先安装好SonarQube服务器,然后安装Sonarscanner进行扫描。

2021-02-25 07:10:57

SonarQube代码扫描代码基线
如何将SonarQube代码质量分析工具安装到Ubuntu Server 20.04上?
是否在寻找一种分析代码以查找问题和漏洞的方法?如果是这样,SonarQube正是您所需要的。本文介绍了如何安装该工具。

2020-11-27 08:00:00

开发分析工具web
自己 new 出来对象一样可以 Spring 容器管理!
按理说自己new出来的对象和容器是没有关系的,但是在SpringSecurity框架中也new了很多对象出来,一样也可以被容器管理,那么它是怎么做到的

2020-06-23 08:10:30

Spring容器权限
17行Python代码做情感分析?你可以
17行代码跑最新NLP模型?你也可以!一台可以上网的电脑,基本的python代码阅读能力,用于修改几个模型参数,对百度中文NLP最新成果的浓烈兴趣。

2019-06-28 12:34:34

Python情感分析NLP
原来你是这样HR“刷”掉
要找到一份好的工作,必须天时、地利、人和。但在实际案例中,我们常常发现,一些条件很好的人,却始终无法顺利通过最后一道关卡。深究其原因,他们总是忽略了一些重要的细节,使得求职路一直走得不顺畅,一次次被主考官“枪毙”,一次次“死”在招聘会的面试场上。

2009-03-11 14:42:57

面试求职案例
ChatGPT 五大功能可以帮助你提高代码质量
ChatGPT目前彻底改变了开发代码的方式,然而,大多数软件开发人员和数据专家仍然没有使用ChatGPT来改进和简化他们的工作。

2023-02-19 15:20:19

评估光纤端面质量检测方法
光纤连接处出现问题是网络故障的主要原因,因此光纤端面的检测至关重要。本文讨论了3种主要的端面检测方法。

2010-04-13 11:24:42

光纤端面检测布线
原来缓存会雪崩、击穿、穿透啊
在互联网时代,大流量、海量数据、高并发是每个企业都渴望又害怕的名词,渴望是因为它们代表着提供的服务用户愿意买单、有价值;害怕是因为一旦用户全上来了,系统不能正常为用户提供服务,让用户失望,最终选择离开。仅靠着超高配置的服务器资源,还是很难支撑高并发的场景。因此我们需要缓存。

2020-10-23 10:46:03

缓存雪崩击穿
代码质量代码历史是代码未来预言
如果把项目代码比喻成城市,那么系统中维护成本高的复杂部分就好比潜伏在城市中的罪犯,我们对于罪犯的搜查,显然不能对城市进行地毯式的搜索,而是应该找到之前有过犯罪记录的一些街区,划分重点区域进行排查,我们把这些区域,称为hotspot,代码中也是,这些hotspot里,潜藏着具有最高优先级的需要调整,优化与被重构的对象。

2018-01-02 13:30:04

代码质量代码预言
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服