使用sonarqube进行代码分析
在安装好sonarqube后,代理商sonarqube安全审计,使用sonarqube对代码进行分析。
前提准备
1.准备项目
在GitHub上拉取了一个java项目,进行测试。
2.配置maven
在maven中进行配置,使maven支持sonarqube。
登录sonarqube,在右上角找到帮助,点击帮助,在帮助中找到教程,点击分析新项目,如图所示:
创建令牌,输入令牌名点击生成,选择你要分析的项目,sonarqube安全审计,本文测试项目主要是java语言,使用maven构建,选择好了后在右边看到提示,右边的maven命令。
sonarqube问题修改总结
二、BUG风险
1、声明应该使用Java集合接口,而不是具体的实现类,如“LinkedList”说明:声明应该使用Java集合接口,而不是具体的实现类,如“LinkedList”
原因:定义良好的接口来隐藏实现细节。
错误示例:
解决建议:
2、实体工具类应当隐藏其构造器说明:实用工具类,静态成员的集合,其目的并非要实例化。应该没有公共构造函数。
错误示例:
3、字符创比较上应该防止空指针异常说明:字符创比较上应该考虑到空指针异常的情况,代理商sonarqube安全审计,一个变量在与字符串比较时,应当把字符串放在左边。
错误示例:
SonarQube平台由四部分组成:
一、SonarQubeServer
1) Web Server, 浏览质量的快照和配置sonarqube实例
2)SearchServer based on Elasticsearch, 执行来自页面的查询请求
3)Compute EngineServer ,处理代码分析报告并保存在sonarqube数据库
二、SonarQube Database :
1) sonarqube实例的配置(安全、插件设置等)
2) 项目、视图等的质量快照。
三、SonarQube Plugins
语言、SCM、集成、身份验证和治理插件
一个或多个sonarqube Scanners运行分析项目
中国sonarqube安全审计-华克斯(推荐商家)由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。