代码分析体系及Sonarqube平台

代码分析

• 综合性的代码分析平台：sonar 支持自定义规则, 较多的公司使用

• IDE辅助功能：xcode、android studio

• 独立的静态分析工具：findbugs、androidlint、scan-build、pmd、阿里巴巴java开发规范pmd插件

image.png

代码审计关注的质量指标

• 代码坏味道：代码规范、技术债评估 代码重复度、圈复杂度

• bug和漏洞

• 单元测试规模

• 覆盖率分析

代码静态检查

• 代码语法分析：lint系列，通过分析语法树和源代码，检查代码规范

• 编译器分析：借助于编译器获得代码关系

• 字节码静态分析：分析jar、war、dex等格式的文件，代表工具：findbugs

sonarqube架构

image.png

sonarqube部署

临时性的部署

docker run -d --name sonarqube \

正式部署，最新版本的sonarqube不再支持mysql了

docker run -d \

默认配置

用户名密码：admin admin

http://sonarqube.testing-studio.com/

image.png

sonarqube的代码分析流程

image.png

想学好sonarqube平台，就要先从sonarqube架构开始学习。了解架构后，在进行部署等操作。后面我们会继续为大家介绍Sonqrqube scanner的使用等，敬请期待哦~

****推荐学习****