代码质量是一个不断增长的市场, 它是分析师对其大规模采用和大量投资回报的雷达。
认知的复杂性提供了一个新的衡量如何硬编码是理解-一个罢工开发商的直觉正确的。下载白皮书本文描述了认知的复杂性,提出了一种新的度量方法, 以更准确地测量法的相对理解。在这样做的时候,它解决了这个领域中圈复杂度的缺点。圈复杂度使用数学模型来评估方法, 对测试所需的工作量进行精que测量,但不准确地测量需要了解它们的工作量。认知的复杂性打破了使用数学模型评估软件可维护性的实践。它从由圈复杂度所设置的先例开始,但使用人工判断来评估结构应如何计算, 并决定应将哪些内容添加到整个模型中。结果是, 它产生了方法复杂性评分,使程序员对可维护性的相对评估比以前的模型更公平。
SonarSource 的产品和服务被世界各地的客户所使用。所有规模的组织都在使用来自 SonarSource的产品和服务提高生产率, 降低风险, Zui终开发更好的软件。SONARSOURCE 的产品和服务被世界各地的客户所使用。
思科系统 (NASDAQ: cisco) 是全球领xian的网络技术。思科拥有73460名员工和 Q2 FY13121亿美元的收入, 在各种技术领域, 包括安全、网络会议、路由: 边缘/核心/接入、语音等方面都是市场的。思科 IT代表公司的工程部门, 负责提高开发人员的生产率,并在持续交付、构建管理、代码审查和部署方面实施Zuijia做法。思科的目标是设计、实施和宣传的软件质量和维护工具。软件质量面临的关键挑战
今天, 思科将成为世界上 1 it 组织的轨道, 但有一段时间, 它无法管理软件质量可能是一个绊脚石。根据思科 it 工程师Dhairya Sanghvi 的数据, 使它进入和通过 QA 的代码的质量是一个问题。过去有许多与代码相关的问题,随着时间的推移而不断升级, 花费了我们很多钱。部分问题是缺乏标准。"我们曾经有开发团队以一种杂乱无章的方式进行代码审查和非功能分析,"Sanghvi 说。"没有信息存储或对缺陷数量有清晰的了解", 也无法看到质量随时间变化的方式。此外,"代码评审所采用的系统和流程没有标准化, 因为没有用于执行 (审查)的通用工具或规则集"。开发团队正在使用各种工具进行静态分析和单元测试, 但他说,"思科需要将其重心转移到一个具有更成熟报告能力的工具上, 开发人员和管理层都可以对其进行解释。SONARQUBE 是一致的选择
Sanghvi 说, 在寻找能够满足思科需求的工具的同时, 研究团队也在尝试将敏捷实践融入到思科 it 开发环境中。他说,这支球队是以 SonarQube 的特点出售的, 但整合是关键的。"SonarQube 是一个代码分析工具, 与詹金斯集成好,我们去了, " a-哈, SonarQube 它是这样的!SonarQube 是一致的选择。Sanghvi 说, SonarQube有 "很多伟大的特点", 但这些突出:可自定义的规则集-"SonarQube 中的可定制的质量配置文件是一个非常有用的灵活性,考虑到我们的平台上有各种不同的粉笔和奶酪的团队," Sanghvi 说。"此外, 将 xml 规则 (从一个 SonarQube实例转移到另一个) 和这些配置文件的继承能力都很容易使其成为完美的产品。项目组合管理-思科公司正在使用投资组合管理插件,在整个企业中提供管理友好、个性化的质量指标。这给整个组织提供了很大的激励, 可以定期检查他们的进度,跟踪改进并采取行动来修复质量缺陷。时间机器– "趋势分析报告是 SonarQube 中Zuida量的使用能力之一,帮助我们说服许多项目团队采用该工具" Sanghvi 说。"能够看到我们的项目在很长一段时间内的质量改善是Zui关键的项目之一,在您的阿森纳。当与项目组合管理插件结合使用时,此功能为组织的性能提供了一个完整的窗口。在代码审查和功能集成中节省了大量的资源时间
根据 Sanghvi 的数据, 思科公司采用 SonarQube 的方法, 对这家企业来说是一个巨大的胜利。"SonarQube已经触发了三倍的业务影响, 我们已经看到了在每一个项目团队, 我们已经登上-交付卓越 (时间到能力减少), 工程卓越 (质量改进)和业务价值 (成本节约)。通过将代码分析转移到开发阶段并每天运行它, Cisco it 大大提高了代码质量, 并因此减少了紧急 bug修复, 这 "为组织节省了大量成本", Sanghvi 说。"在 PLC的早期阶段遇到的缺陷比以后被发现的要便宜得多。下一次大胜利是在代码审查领域。现在, 每个团队都在同一个地方进行代码评审,使用相同的工具和度量, SonarQube 提供了对关键缺陷度量的清晰和基于时间的可见性。由于 SonarQube 的日常代码分析,在代码审查和功能集成中节省了大量的资源时间。此外, "SonarQube, 与其相关的质量概况和他们的客户
如何使用 SonarQube 改进工作流
twitter作为开发人员, 我不得不多次修复生产环境中的问题。有时, 我在代码之前没有看到任何错误, 而在其他时间,我花了很多时间试图理解别人写的代码-更糟的是,SonarSource价格, 我把代码放到生产中, 在几个月后发现了安全漏洞。
很可能你也面对过这种情况。因此, 有一个工具, 可以帮助您在早期阶段检测到它们, 岂不是很棒吗?SonarQube使这成为可能。在这篇文章中, 您将了解它如何帮助您清理代码并防止将来出现问题。
SonarQube 入门SonarQube 是一个开放源码的质量管理平台, 致力于不断分析和测量技术质量,从Zui早的计划阶段到生产。通过将静态和动态分析工具结合在一起, SonarQube 连续监视七轴上的代码,如重复代码、编码标准、单元测试、复杂代码、潜在 bug、注释和设计以及体系结构。
SonarQube 是一种用于主要编程语言的代码分析器, 如 c/c++、JavaScript、Java、c#、PHP 或Python, 等等。通常, 应用程序同时使用多种编程语言, 例如: Java、JavaScript 和 HTML的组合。SonarQube 自动检测这些语言并调用相应的分析器。
SonarQube 现在是 Bitnami目录的一部分。您可以下载或推出它与我们准备使用的云图像只需几次点击和开始使用它在您的所有项目。利用 Bitnami 图像的特点:安全、Zuixin、优化、一致等。
玩 SonarQube在这个 GitHub 的项目中, 您将找到一个用 JavaScript 编写的代码示例。目标:向您展示如何将 SonarQube 合并到您的开发工作流中。存储库包含两个主文件夹 (源和测试), 这样,您就可以知道测试所涵盖的代码的百分比。
这个项目还包括一个声纳工程. 属性文件, 其中有一些配置参数需要配置 SonarQube, 如用户名, 密码, 语言等。
运行
$ 声纳-扫描仪在项目文件夹内, 这样就启动了第yi个扫描仪, 您可以在 web 界面中检查结果。
第yi次扫描
正如您在上面的截图中所看到的, 当前的代码有零 bug、零漏洞和六代码的气味。
我将修改源代码以引入一个 bug 和一个漏洞。这一次是有意的, 但是在日常的工作中,这样的问题会在你没有意识到的情况下出现。
添加错误
再次运行扫描仪使用
$ 声纳-扫描仪如预期的那样, 将出现新的 bug 和漏洞。再次检查分析以查看所做的更改:
比较扫描
屏幕右侧将出现一个新节 (以黄色高亮显示)。SonarQube 处理两种状态: 当前状态 (以白色表示)和Zuixin更改。正如您在截图中所看到的, 上次扫描中引入的更改增加了一个 bug 和一个漏洞。SonarQube 评估每个部分的质量,评分基于不同的参数, 一个是Zuijia状态。在这种情况下, 引入 bug 导致 "bug" 部分从 a 传递到 C, "漏洞" 部分从a 到 B。
您可以设置 "泄漏期间" 来确定要进行比较的方式: 按时间或在每个扫描仪执行之间。
让我们详细地看看 "覆盖率" 一节: 38.1% 是全球测试覆盖率 (正如您在 GitHub 存储库中看到的那样,我对某些文件进行了测试, 但对于所有的文档都没有)。在黄色部分, 您可以看到新添加的行的覆盖率。以前, 为了添加错误,我引入了一些新行, 但我没有为这些新行创建任何测试, 因此新的测试覆盖率为0%。此外, 点击覆盖范围, 我可以看到更多的信息的覆盖面,例如: 覆盖的文件, 覆盖线的数量, 等等。
错误信息
通过这种快速而简单的分析 (您只需执行一个命令), 您将能够防止出现在生产环境中的错误,使代码保持安全并遵守Zuijia做法和质量标准。在下面的迭代中, 我将致力于实现零bug、漏洞和代码气味的目标。我还可以在测试中得到 的代码。一旦我的代码处于这种状态,就很容易看出所做的更改是否引入了某种错误或坏的做法。
如何挤压 SonarQube正如您在上一节中看到的, 保持代码的良好状态非常简单。但是, 还有更多的发现。SonarQube有很多很酷的集成。
分析方法可以在下列分析方法之间进行选择:
用于 MSBuild 的 SonarQube 扫描仪:. Net 项目的启动分析SonarQube 扫描器: maven的启动分析和Zuixiao配置SonarQube 扫描器 Gradle: 发射 Gradle 分析蚂蚁 SonarQube 扫描器:蚂蚁发射分析詹金斯 SonarQube 扫描仪: 詹金斯发射分析SonarQube 扫描仪: 当其他分析器都不合适时,从命令行启动分析插件另外, SonarQube 有一个更新中心与各种各样的插件组织入不同的类别, 一些有用的插件是:
代码分析器
SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成
GitHub 插件: 分析拉请求, 并指出问题作为评论。谷歌分析: 将 google 分析跟踪脚本添加到 SonarQube 的web 应用程序中。单片机引擎
善变的: 增加对善变的支持。git: 添加对 git 的支持。SVN: 添加对 Subversion的支持。身份验证和授权
GitHub 身份验证: 通过 GitHub 启用用户身份验证和单一登录。GitLab 身份验证: 通过 GitLab启用用户身份验证和单一登录。谷歌认证: 启用用户身份验证授权到谷歌。读过这篇文章后, 你可能想尝试 SonarQube,看看它是如何融入你的日常工作的。您可以直接从 Bitnami 目录下载或启动它。
快乐 (和安全) 编码!
SonarSource培训-华克斯(图)由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司(www.sinocax.com)是从事“Loadrunner,Fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供优质的产品和服务。欢迎来电咨询!联系人:华克斯。