使用说明 代码规范对于每个开发来说重要也重要,说不重要其实也没那么重要,简单点的vs的code analysis也能提供很多的建议,重量级一点的Resharper不仅能提供建议,还提供了更方便快捷的一键重构工具,当我需要一个可以和Gitlab集成并且能自动化分析各个项目代码质量的时候,以上工具可能只侧重在编码阶段给开发人员及时的提醒,并不能满足我的需要,所以就找到了Soanrqube的这个工具. 以下介绍docker环境下的安装使用(部分翻译自官方文档) 1.从官方下载镜像 Docker官方镜像

SonarQube 自定义规则开发 满足一些特定需求的时候,需要自己开发代码规则. 环境 和前文的演示环境一致. 步骤 开发步骤见 Writing Custom Java Rules 101,这是官方提供的 sonar-java 下面的指导文档,简述了怎么开发一个 Java 自定义规则. 文章的开始,给了一个模板地址 java-custom-rules,可以看到这个项目下还有别的语言模板. 把模板下载到本地,开发在 Windows 下面完成 F:\workspace\java-custom-ru

一.前言 古人云:"欲速则不达",最近真的是深有体会.学习也是如此,不是一件着急的事,越是着急越不会. 就拿SonarQube来说吧,去年年末就想学来着,但是想着想着就搁置了,有时觉得自己才是那个拖延症特别严重的人. 临近年末又捡起来了,关于SonarQube自定义规则部分,我也是苦恼了很久,网上的资料不是很多,但凡是有相关的能用的真的很少,基本是抄来抄去. 一周没学习和更文了,一是这块真的没思路,网上找来的也不好用:二是因为女人「相亲路任重而道远,不多说心塞」心情不好,也不想做任何事

一.说明 最近要找一款代码审计工具,Fortify SCA太贵,VisualCodeGrepper不太好用.在freebuf上看到可用sonarqube来建代码自动化扫描系统所以也来试一试. 直接安装没启起来,懒得分析填接用了docker装. 二.安装 sonarqube扫描是c/s模式,sonarqube自己是服务器装在kali上,sonarqube scanner是扫描客户端装在哪都可以,我这里装在windows机上. 2.1 服务端安装docker docker安装可参考:https://

在线安装和离线装sonarLint https://blog.csdn.net/limm33/article/details/51166840 下载指定版本的sonarLint https://bintray.com/sonarsource/SonarLint-for-Eclipse/releases/2.0.0/view https://bintray.com/sonarsource/SonarLint-for-Eclipse/releases/3.5.0 sonarQube官网 https:

iOS 持续集成系列 - 开篇 前言 iOS 开发在经过这几年的野蛮生长之后,慢慢地趋于稳定.无论开发语言是 Objective-C 还是 Swift,工程类型是 Hybird 还是原生,开发思想是 OOP 还是函数式,随着项目逐渐变大都在面临相同的问题: 测试.发布等重复性工作占了很大一部分时间,回归成本越来越高.持续集成不可避免地被提上了日程. 本文主要阐述 iOS 下的持续集成,以目标.内容.流程.工具入手,希望可以为大家描绘一幅 iOS 持续集成的蓝图.这可能不是一篇可以让你 Step

目录 一.静态代码分析 二.规范检查 PMD进行检查 分析器区别 三.持续代码质量检测 Maven与SonarQube集成 Jenkins与SonarQube集成 代码扫描 SonarQube集成p3c 将分析报告推送到GitLab Allure测试报告 一.静态代码分析 静态代码分析是指在不允许程序的前提下,对源代码进行分析或检查,范围包括代码风格.可能出现的空指针.代码块大小.重复的代码等. 没有通过编译,静态代码分析就没有意义.所以在整个pipeline中,静态代码分析通常被安排在编译阶段

原文地址:https://www.jianshu.com/p/ff1d800885ce 惯例第一步肯定是SonarQube的安装与运行配置了,但这部分不在本文主题内,网上一搜一大把,这里就不讲了,大家可以先看这篇文章:SonarQube的安装.配置与使用.我们直接讲自定义CheckStyle代码规则的配置方法.(注:不同的SonarQube版本可能略有不同,大家按线索来) 1.CheckStyle插件安装(熟悉的可跳过)   CheckStyle插件安装操作步骤 如图所示,在应用市场中搜索Che

https://www.cnblogs.com/guoguochong/p/9117829.html 1.概述SonarQube(sonar)是一个 开源 平台,用于 管理 源代码的 质量 . SonarQube不只是一个质量 数据 报告工具,更是代码质量管理平台. 支持 java , C#, C/C++, PL/SQL , Cobol, JavaScr ip , Groovy 等等二十几种编程语言的代码质量管理与检测. SonarQube可以从以下七个维度检测代码质量,而作为 开发 人员至少需

引言:为了更好的使项目代码规范化,减少Bug的出现,因此最近引入了SonarQube来帮助检测代码问题,这里就分享部分有趣的规则. 注:因为保密原则,文章贴出来的代码都是我按照格式仿写的,并非公司源码. 一. Boxed value is unboxed and then immediately reboxed 解释:已装箱的值被解除装箱,然后立即重新装箱. 示例: User user = new User(); Long userId = (user.getId() == null)? 0 :

1.Abbreviation As Word In Name (默认 关闭)坏味道 主要检查验证标识符名称中的缩写(连续大写字母)长度,还允许执行骆驼案例命名allowedAbbreviationLength 3 6.Annotation Location (默认 关闭)坏味道 主要注释位置allowSamelineSingleParameterlessAnnotationTo allow single parameterless annotation to be located on the

漏洞类型: 1."@RequestMapping" methods should be "public"漏洞 阻断标注了RequestMapping是controller是处理web请求.既使方法修饰为private,同样也能被外部调用,因为spring通过反射调用方法,没有检查方法可视度,2."enum" fields should not be publicly mutable漏洞 次要枚举类域不应该是public,也不应该进行set3.&q

1.".equals()" should not be used to test the values of "Atomic" classes.bug 主要不要使用equals方法对AtomicXXX进行是否相等的判断Atomic变量永远只会和自身相等,Atomic变量没有覆写equals()方法.2."=+" should not be used instead of "+="bug 主要"=+" 与 &

1.目的 在编写代码时会受到公司Sonar规则的限制,不想在编写完成后再对代码进行Inspect,回头再来一个个修正,费时费力. 那么,下面将通过优秀的WebStorm开发工具自身的CodeInspect结合Sonar插件及自定义规则来检测代码. 2.安装和配置SonarQube 2.1    安装SonarQube WebStorm->File->Settings->Plugin,具体安装如图: 如果下载不了,可以手动下载,并安装.插件下载地址: http://plugins.jetb

Sonar简介 Sonar是一个用于代码质量管理的开源平台,用于管理源代码的质量,可以从七个维度检测代码质量 通过插件形式,可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测 sonarQube能带来什么? Developers' Seven Deadly Sins1.糟糕的复杂度分布  文件.类.方法等,如果复杂度过高将难以改变,这会使得开发人员难以理解它们, 且如果没有自动化的单元测试,对于程序中的任何组

http://blog.csdn.net/rain_butterfly/article/details/42170601 代码检查工具能帮我们检查一些隐藏的bug,代码检查工具中sonar是比较好的一个.官网 Sonar 概述 Sonar 是一个用于代码质量管理的开放平台.通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具.与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD

OClint是针对C, C++及Objective C代码的静态扫描分析工具,而SonarQube是一个开源的代码质量管理平台.本文将实现将OClint的扫描结果导入到SonarQube中,已实现对Objective C代码质量的管理. 操作系统: Mac OS X 10.9 所需工具: SonarQube : sonarqube-4.4 - http://www.sonarqube.org/downloads/ Sonar Runner : sonar-runner-dist-2.4 - ht

原文:http://blog.csdn.net/hunterno4/article/details/11687269 Sonar简介 Sonar是一个用于代码质量管理的开源平台,用于管理源代码的质量,可以从七个维度检测代码质量 通过插件形式,可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测 sonarQube能带来什么? Developers' Seven Deadly Sins1.糟糕的复杂度分布  文件

因项目需要,需要使用sonarQube对代码进行扫描并查看,因对sonarQube不熟悉,所以先在本机进行查看. 参考了张老师的博客:http://www.cnblogs.com/danzhang/p/5205610.html 参考百度文库文章:http://wenku.baidu.com/view/088e5b1b6edb6f1aff001fc0.html?from=search 运行sonarQube之前,需要本机已经安装JDK及mysql JDK:因为sonarQube是使用Java开发的

1.Sonar轮廓介绍 Sonar (SonarQube)是一个开源平台,用于管理源代码的质量.Sonar 不只是一个质量数据报告工具,更是代码质量管理平台.支持的语言包括:Java.PHP.C#.C.Cobol.PL/SQL.Flex 等.其主要特点如下:代码覆盖:通过单元测试,将会显示哪行代码被选中改善编码规则:将一些约定俗成的编码规范加入考核标准搜寻编码规则:按照名字,插件,激活级别和类别进行查询项目搜寻:按照项目的名字进行查询对比数据:比较同一张表中的任何测量的趋势 具体的特性参见:ht

http://www.voidcn.com/blog/lidujun1028/article/p-3831235.html   Sonar (SonarQube)是一个开源平台,用于管理源代码的质量.Sonar 不只是一个质量数据报告工具,更是代码质量管理平台.支持的语言包括:Java.PHP.C#.C.Cobol.PL/SQL.Flex 等. 主要特点: 代码覆盖:通过单元测试,将会显示哪行代码被选中 改善编码规则 搜寻编码规则:按照名字,插件,激活级别和类别进行查询 项目搜寻:按照项目的名字