代码扫描系统——sonarqube

界面：

标签：sonarqube，静态扫描，代码质量，开源

简述：SonarQube ，一个开源的代码质量扫描平台, 可分析和评估项目源码的质量。 根据代码规则发现可能的异常、重复代码、给出风格建议、测试覆盖率等等。

竞品：jenkins插件、IDE上的插件等

链接：

http://www.sonarqube.org/

点评：php技术栈，业界比较著名的代码扫描平台，版本更新频率很快，支持扫描的语言较多，各前后端主流语言如JAVA、python、javascript、php等都支持，界面漂亮，用户体验良好，如大多数开源工具一样，功能强的插件要付费，基本配置扫描出来的误报率不低，有些鸡肋，想要提高命中率，需根据项目情况自行配置代码规则

思考：对sonarqube的一些玩法，总结如下，

①插件开发：sonarqube相对丰富的插件，较高的颜值，让人想围着它做一些事情，根据自己项目情况，开发一些特有的扫描插件，针对性更强，如果普适性不错，也可以开源出来，促进开源生态繁荣；

②规则定义：默认配置，只是起到一个demo的作用，想要提高扫描结果的命中率，必须根据公司项目的实际情况，对扫描规则进行自定义，这样扫描出来的有效结果才有说服力，开发人员才会觉得有用，否则误报率太多的话，效率就太低了，没有人会主动去用它；

③与其他工具结合：命令行工具sonarscan，可以合入到代码做自动化；jenkins上也有sonarqube相关的插件，配合maven使用，可以较为方便的创建扫描工程；也可以用sonarqube扫描来作为公司DevOps平台建设的一部分；