sonar的作用 1.代码质量和安全扫描和分析平台. 2.多维度分析代码:代码量.安全隐患.编写规范隐患.重复度.复杂度.代码增量.测试覆盖率等. 3.支持25+编程语言的代码扫描口分析,包含java\python\C#\javascript\go\C++等. 4.涵盖了编程语言的静态扫描规则:代码编写规范+安全规范. 5.能够与代码编辑器.CI/CD平台完美集成. 6.能够与SCM集成,可以直接在平台上看到代码问题是由哪位开发人员提交. 7.帮助程序猿写出更干净.更安全的代码. sonar的组…
想做一个整合开源安全代码扫描工具的代码安全分析平台 - Android方向调研 http://blog.csdn.net/testing_is_believing/article/details/22675173…
0.前言 PMD作为开源的静态代码扫描工具有很强的扩展能力,可使用java或xpath定制rule.第一篇从操作上讲解如何定制一个用于扫描xml是否规范的规则.首先我们知道xml格式的文件在java工程里往往用于配置文件,像web的ssm框架里的applicationContext.xml或者是sqlMapConfig.xml等等.在安卓工程里同样会使用xml,本文主要以安卓的配置清单--AndroidManifest.xml做基础来讲解. 1.准备 知识准备:http://www.w3scho…
1.说明:Coverity代码扫描工具可以扫描java,C/C++等语言,可以和jenkins联动,不过就是要收钱,jenkins上的插件可以用,免费的,适用于小的java项目 2.这是Coverity的github地址       https://github.com/jenkinsci/coverity-plugin 3.以下是coverity在jenkins上操作       jenkins=詹金斯 安装插件使用插件管理器,重启詹金斯. Coverity配置工具(管理詹金斯>全球工具配置)…
Lint和FindBugs一样,都是静态代码扫描工具,区别在于它是Android SDK提供的,会检查Android项目源文件的正确性.安全性.性能.可用性等潜在的bug并优化改进. 下图简单地描述了Lint工具的原理. 在Eclipse中右键工程,在出现的菜单中选择Android Tools中的Run Lint,即可执行Lint测试.结果如图所示. Lint也可以通过命令行的方式对工程进行测试,并同时产生测试报告.在终端中输入: lint apidemos --html apitest.htm…
本文主要介绍UCDetector(无用代码扫描工具)使用方法及局限 对于沉积或多方接手开发的项目经常会遇到一坨一坨无用的代码,但一个一个类查找又相当费时,这里介绍一个eclipse插件扫描没有引用的类.方法.常量. 插件名为UCDetector,介绍地址为http://www.ucdetector.org/index.html eclipse update site为:http://ucdetector.sourceforge.net/update 使用方法为在工程上(可以shift选择多个模块…
写在前面 SonarQube(简称Sonar)是管理代码质量的开放平台,它可以快速地对代码质量进行分析,并给出合理的解决方案,提高管理效率,保证代码质量. SonarQube的流行,在于以下几点: 开源 支持超过25种语言 可以通过ecplise等IDE集成,简便使用 详细的文档   资源 Sonar [官网],可能需要FQ访问.Sonar [下载]及[文档]SonarQube Scanners (扫描器)[下载及文档]   安装Sonar 下载解压 下载好SonarQube压缩包,解压后,打开…
亲测有效 环境:springboot+gradle+jdk1.8+sonarqube7.4 一.说明: SonarQube为静态代码检查工具,采用B/S架构,帮助检查代码缺陷,改善代码质量,提高开发速度,通过插件形式,可以支持Java.C.C++.JavaScripe等等二十几种编程语言的代码质量管理与检测. 通过客户端插件分析源代码,sonar客户端可以采用IDE插件.Sonar-Scanner插件.Ant插件和Maven插件方式等,官网是这么列举的很方便集成: Gradle - 用于Grad…
http://blog.csdn.net/rain_butterfly/article/details/42170601 代码检查工具能帮我们检查一些隐藏的bug,代码检查工具中sonar是比较好的一个.官网 Sonar 概述 Sonar 是一个用于代码质量管理的开放平台.通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具.与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD…
本文转自http://blog.csdn.net/gaofuqi/article/details/22679609 感谢作者 FindBugs 是由马里兰大学提供的一款开源 Java静态代码分析工具.FindBugs通过检查类文件或 JAR文件,将字节码与一组缺陷模式进行对比从而发现代码缺陷,完成静态代码分析.FindBugs既提供可视化 UI 界面,同时也可以作为Eclipse插件使用.文本将主要使用将 FindBugs作为 Eclipse插件.在安装成功后会在 eclipse中增加 Find…