Sonarqube使(shi)用簡(jian)介

1.SonarQube掃描方法

Jenkins中(zhong)調用(yong)

通過jenkins插(cha)件調用(yong)(yong)sonarScanner或使(shi)用(yong)(yong)Maven、Gradle等內置(zhi)掃描器

依(yi)據項目需要，對代碼持續(xu)掃描，并將(jiang)結(jie)果(guo)推送到sonarqube 進行頁面展示

SonarQube Scanner

使用(yong)scanner，通過配置文件，修(xiu)改(gai)項(xiang)目(mu)信息，在(zai)命令行(xing)中調用(yong)scanner工(gong)具(ju)，進行(xing)掃(sao)描(miao)，并推送給sonarqube

Maven、Gradle等(deng)內置掃描(miao)器

以maven為(wei)例，需要(yao)修改(gai)maven和sonarqube配置文(wen)件(jian)，在mvn編譯后，使用mvn命令，進行代碼(ma)掃描，并推送(song)給sonarqube（需要(yao)編譯源(yuan)代碼(ma)）

sonarQube的基本使用(（三）

5.創建質量閾

點擊(ji)“質量閾(yu)”，在(zai)質量閾(yu)界(jie)面，會顯示當前已(yi)創建的(de)質量閾(yu)有哪些(xie)(xie)，以及這些(xie)(xie)質量閾(yu)的(de)規則。

點擊(ji)“創(chuang)建按鈕”，輸入名稱

點(dian)擊添加(jia)條(tiao)件，中國(guo)sonarqube安全審計，選擇條(tiao)件

配置條件閥值

為該質量閾(yu)配(pei)置適(shi)用項目

6.創建/配置項目

點擊“+”號創建項目(mu)(mu)，輸入(ru)項目(mu)(mu)標(biao)識和顯示(shi)名(ming)(ming)稱(cheng)，代(dai)(dai)理(li)商sonarqube安全審計(ji)，需要注(zhu)意(yi)的是，顯示(shi)名(ming)(ming)稱(cheng)在執行(xing)代(dai)(dai)碼檢(jian)查之(zhi)后，會被執行(xing)檢(jian)查的代(dai)(dai)碼項目(mu)(mu)名(ming)(ming)替代(dai)(dai)。

配(pei)置完令牌之(zhi)后，會生(sheng)成MVN執行檢查(cha)的(de)命令

在(zai)“項(xiang)目配(pei)置”下拉(la)框中選擇“質量(liang)配(pei)置”，會出(chu)現(xian)各種語(yu)言對應的質量(liang)配(pei)置，根據該(gai)項(xiang)目的編程語(yu)言選擇合適質量(liang)配(pei)置。

在“項目配置(zhi)”下拉框中選擇“配置(zhi)閾”，選擇合(he)適的配置(zhi)閾。

在“項目配置”下(xia)拉框中選擇“權限(xian)”，選擇“私有”框，則該(gai)項目只對用戶(hu)和用戶(hu)組可見。

用戶組選擇。

sonarqube問(wen)題修(xiu)改總結

二、BUG風險

1、聲明應(ying)(ying)該使用(yong)Java集合接(jie)口，而不(bu)是具體(ti)的實現類(lei)，如“LinkedList”說明：聲明應(ying)(ying)該使用(yong)Java集合接(jie)口，而不(bu)是具體(ti)的實現類(lei)，如“LinkedList”

原因：定義良(liang)好(hao)的(de)接口(kou)來隱(yin)藏(zang)實現(xian)細節。

錯誤示例：

解決建議：

2、實體工具(ju)類應當隱藏其(qi)構造(zao)器說明：實用(yong)工具(ju)類，sonarqube安全審計(ji)，靜態成員(yuan)的集合，其(qi)目的并非要實例化。應該沒有公(gong)共構造(zao)函數。

錯誤示例：

3、字符創(chuang)比(bi)較(jiao)上(shang)應(ying)該防止空指針異常說明：字符創(chuang)比(bi)較(jiao)上(shang)應(ying)該考慮到空指針異常的情況，一個變量在(zai)與字符串比(bi)較(jiao)時，應(ying)當把字符串放在(zai)左(zuo)邊。

錯誤示例：