SonarSource 城市之旅2016丹切2016年5月26日在10:14pm今天我參加了倫敦 SonarSource 城市之旅。SonarSource 制作兩個 '連續代碼質量' 工具: SonarQube;和 SonarLint。

雷迪森 sas 波特曼酒店舉辦的低調活動約50與會者。我們聽到了一些適當的技術介紹， 從奧利維爾 Gaudin， 弗雷迪槌， 和 SonarSource 的尼古拉斯秘魯和鄧肯波克林頓從微軟。

技術債wu這一天開了一個問題。誰負責代碼質量？還是 QA？

是不加掩飾的: 開發商。

在某些情況下， 引入技術債wu是可以的， 但團隊需要了解他們所創建的問題的權衡和存在的程度。hao的方法是通過客觀和一致的測量。

'修復泄漏'知道你有問題是一回事。修理它是另一回事。

這一天的首要主題是 '修復泄漏': 當你有一個漏水的管道， 你應該先修復它還是先把它擦干凈？如果你不首先解決問題的根源， 那么清理就不是很有用。

(這對我來說特別的傷感， 因為我在家里的水管漏水， 所以我遲到了。

在實踐中， 這意味著設置一個質量的酒吧 (或 '門' 的 SonarSource 行話) 新的變化， 但大多忽略現有的問題， 直到你得到控制的事情。

這似乎是一個不錯的方法， 有兩個原因:

它減少了在遺留的基本代碼上開始的摩擦力， 因為你可以假裝你是從一個干凈的石板開始;這是沙子上的一條線， 它為球隊的前進設定了期望。奧利維爾不厭其煩地強調， 有一個自動化的工具， 實施這種行為不會減輕你的教育團隊的jia做法。每一個指標都可以博弈，河北sonarqube 插件， 所以你需要讓人們在船上的概念， 真正充分利用它。

SonarQubeSonarQube 度量您的代碼庫的可維護性、可靠性和安全性， 并跟蹤隨著時間的推移而改進。它還指出了代碼中特定的代碼氣味， 應該是固定的。

SonarQube 是由超過75k 的公司使用的， 其中一些有數以千計的開發人員和數百萬行代碼。它成為事實上的代碼質量工具， 因為它的介紹8年前， 超過其 Java 根現在支持超過20種語言。

弗雷迪給了我們一個簡要的特點， 從近的版本， 包括 v5.6 (將在幾個星期內發布)。

值得注意的是， 現代化的體系結構不再需要分析器和數據庫之間的直接連接。這一切都通過了一個網絡服務， 這是更明智的。

質量評級也正在完善。現有的 SQALE 度量對衡量項目的可維護性很有好處， 但它沒有考慮到問題的嚴重性。它也沒有真正與泄漏概念的網格。

在 SonarQube 5.6 中， SQALE 將重新命名為可維護性， 并且將為性、安全性和可靠性提供新的評級。將所有這些信息一起放在所有項目中將是一個新的治理儀表板 (一個商業插件)。

路線在工作中， 我們使用 gitflow。我們不想合并一個功能分支， 如果它會降低項目的質量， 因此我們特別希望了解分支支持在 SonarQube 中將如何改進。

已經有拉請求集成與 GitHub 和藏匿， 讓你知道什么時候合并會引入債wu。

但是， 目前在 SonarQube 內部， 單獨的分支被視為單獨的項目。配置是重復的， 而且更糟糕的是， 每個功能分支都包含了主分支中的所有問題和債wu。

這是幸運的 SonarSource 的一個高優先級， 雖然它不會被宣布時， 它將船舶。目標是將項目的所有分支作為對主分支的比較。

群集是路線圖的一個令人驚訝的補充， 因為這看起來不像是一種需要支持大量負載的產品。然而， 一些真正巨大的設施確實存在于野外， 它可以利用多個 web 服務器與同一數據庫進行對話。

當弗雷迪宣布 SonarQube 為服務時， 群集的隱藏議程變得清晰明了。這將是一個免費的開放源碼項目服務， 可以分析任何地方托管的項目 (雖然它需要一個 GitHub 帳戶進行身份驗證)。它將支持所有的內置 SonarSource 插件， 但沒有第三方的。這對開源社區來說是一個好消息!

后， 我有機會問墻和集成系統， 如 JIRA。一般的意見是， 這些應該處理外部 SonarQube 本身， 并集成使用的全功能的 rest API 暴露的 SonarQube。

SonarLintSonarLint 是您的 IDE (Eclipse、IntelliJ 或 Visual Studio) 的插件， 它在您鍵入時標記代碼質量問題。這個想法是為了防止泄漏之前， 他們共享與其他的研發

如何使用 SonarQube 改進工作流

twitter作為開發人員，中國sonarqube 插件， 我不得不多次修復生產環境中的問題。有時， 我在代碼之前沒有看到任何錯誤， 而在其他時間， 我花了很多時間試圖理解別人寫的代碼-更糟的是， 我把代碼放到生產中， 在幾個月后發現了安全漏洞。

很可能你也面對過這種情況。因此， 有一個工具， 可以幫助您在早期階段檢測到它們， 豈不是很棒嗎？SonarQube 使這成為可能。在這篇文章中， 您將了解它如何幫助您清理代碼并防止將來出現問題。

SonarQube 入門SonarQube 是一個開放源碼的質量管理平臺， 致力于不斷分析和測量技術質量， 從早的計劃階段到生產。通過將靜態和動態分析工具結合在一起， SonarQube 連續監視七軸上的代碼， 如重復代碼、編碼標準、單元測試、復雜代碼、潛在 bug、注釋和設計以及體系結構。

SonarQube 是一種用于主要編程語言的代碼分析器， 如 c/c++、JavaScript、Java、c#、PHP 或 Python， 等等。通常， 應用程序同時使用多種編程語言， 例如: Java、JavaScript 和 HTML 的組合。SonarQube 自動檢測這些語言并調用相應的分析器。

SonarQube 現在是 Bitnami 目錄的一部分。您可以或推出它與我們準備使用的云圖像只需幾次點擊和開始使用它在您的所有項目。利用 Bitnami 圖像的特點: 安全、xin、優化、一致等。

玩 SonarQube在這個 GitHub 的項目中， 您將找到一個用 JavaScript 編寫的代碼示例。目標: 向您展示如何將 SonarQube 合并到您的開發工作流中。存儲庫包含兩個主文件夾 (源和測試)， 這樣， 您就可以知道測試所涵蓋的代碼的百分比。

這個項目還包括一個聲納工程. 屬性文件， 其中有一些配置參數需要配置 SonarQube， 如用戶名， 密碼， 語言等。

運行

$ 聲納-掃描儀在項目文件夾內， 這樣就啟動了第yi個掃描儀， 您可以在 web 界面中檢查結果。

第yi次掃描

正如您在上面的截圖中所看到的， 當前的代碼有零 bug、零漏洞和六代碼的氣味。

我將修改源代碼以引入一個 bug 和一個漏洞。這一次是有意的， 但是在日常的工作中， 這樣的問題會在你沒有意識到的情況下出現。

添加錯誤

再次運行掃描儀使用

$ 聲納-掃描儀如預期的那樣，代理商sonarqube 插件， 將出現新的 bug 和漏洞。再次檢查分析以查看所做的更改:

比較掃描

屏幕右側將出現一個新節 (以黃色高亮顯示)。SonarQube 處理兩種狀態: 當前狀態 (以白色表示) 和xin更改。正如您在截圖中所看到的， 上次掃描中引入的更改增加了一個 bug 和一個漏洞。SonarQube 評估每個部分的質量， 評分基于不同的參數， 一個是jia狀態。在這種情況下， 引入 bug 導致 'bug' 部分從 a 傳遞到 C， '漏洞' 部分從 a 到 B。

您可以設置 '泄漏期間' 來確定要進行比較的方式: 按時間或在每個掃描儀執行之間。

讓我們詳細地看看 '覆蓋率' 一節: 38.1% 是測試覆蓋率 (正如您在 GitHub 存儲庫中看到的那樣， 我對某些文件進行了測試， 但對于所有的文檔都沒有)。在黃色部分，代理商sonarqube 插件， 您可以看到新添加的行的覆蓋率。以前， 為了添加錯誤， 我引入了一些新行， 但我沒有為這些新行創建任何測試， 因此新的測試覆蓋率為0%。此外， 點擊覆蓋范圍， 我可以看到更多的信息的覆蓋面， 例如: 覆蓋的文件， 覆蓋線的數量， 等等。

錯誤信息

通過這種快速而簡單的分析 (您只需執行一個命令)， 您將能夠防止出現在生產環境中的錯誤， 使代碼保持安全并遵守jia做法和質量標準。在下面的迭代中， 我將致力于實現零 bug、漏洞和代碼氣味的目標。我還可以在測試中得到100% 的代碼。一旦我的代碼處于這種狀態， 就很容易看出所做的更改是否引入了某種錯誤或壞的做法。

如何擠壓 SonarQube正如您在上一節中看到的， 保持代碼的良好狀態非常簡單。但是， 還有更多的發現。SonarQube 有很多很酷的集成。

分析方法可以在下列分析方法之間進行選擇:

用于 MSBuild 的 SonarQube 掃描儀:. Net 項目的啟動分析SonarQube 掃描器: maven 的啟動分析和xiao配置SonarQube 掃描器 Gradle: 發射 Gradle 分析螞蟻 SonarQube 掃描器: 螞蟻發射分析詹金斯 SonarQube 掃描儀: 詹金斯發射分析SonarQube 掃描儀: 當其他分析器都不合適時， 從命令行啟動分析插件另外， SonarQube 有一個更新中心與各種各樣的插件組織入不同的類別， 一些有用的插件是:

代碼分析器

SonarCFamily c/c++SonarPHPSonarJSSonarWebSonarJavacss集成

GitHub 插件: 分析拉請求， 并指出問題作為評論。谷歌分析: 將 google 分析跟蹤腳本添加到 SonarQube 的 web 應用程序中。單片機引擎

善變的: 增加對善變的支持。git: 添加對 git 的支持。SVN: 添加對 Subversion 的支持。身份驗證和授權

GitHub 身份驗證: 通過 GitHub 啟用用戶身份驗證和單一登錄。GitLab 身份驗證: 通過 GitLab 啟用用戶身份驗證和單一登錄。谷歌認證: 啟用用戶身份驗證授權到谷歌。讀過這篇文章后， 你可能想嘗試 SonarQube， 看看它是如何融入你的日常工作的。您可以直接從 Bitnami 目錄或啟動它。

快樂 (和安全) 編碼!

SonarSource

5個工具可以幫助您編寫更好的Java代碼

在IDR解決方案方面，我們一直在尋找改進我們的Java PDF庫和我們的PDF到HTML5轉換器的方法。hao的方法是改進我們編寫的Java代碼，我們使用一些有用的工具來幫助我們改進代碼，也有助于提高生產力。

在本文中，我們將介紹我們在IDR Soluti中使用的5種的工具，以及如何幫助Java Developers編寫更好的代碼。我還撰寫了一篇針對更具體的領域的后續文章，這是一個幫助您進行Java性能調整的9種工具。

FindBugs的

umdFindbugsFindBugs是一個開放源代碼程序，根據Lesser GNU公共許可證的條款分發，并以Java字節碼而不是源代碼運行。

該工具使用靜態分析來幫助確定Java程序代碼中的數百種不同類型的錯誤，包括空指針解引用，遞歸循環，Java庫和死鎖的不良用法。

FindBugs主要用于識別大量應用中的數百個嚴重缺陷，并且能夠確定潛在錯誤的嚴重性，并分為四個等級：

1scariest

2scary

3troubling

4of concern.