- 博客(37)
- 收藏
- 关注
RSS订阅原创 如何使用SonarQube自动检测和审查GitHub Copilot生成的代码?一、直接优势:查看AI的工作成果:Sonar会自动识别任何可能包含GitHub Copilot生成代码的项
【代码质量与安全】随着GitHub Copilot等AI编码工具的日益普及,开发效率大幅提升,但如何确保AI生成代码的质量和安全成为关键问题。SonarQube推出全新功能,可自动检测并审查GitHub Copilot生成的代码,通过严格的AI代码质量保证工作流,帮助开发者提前发现潜在问题,避免隐患。
2025-03-24 13:03:00
727
原创 AI驱动的自动化测试工具:Ranorex Studio如何提升测试与开发效率
AI驱动的应用不再是未来概念。它们正在改变各行各业,自动执行日常任务,并重新定义企业与客户的互动方式。从聊天机器人到预测分析,AI正在加速创新。但随着这些技术的不断发展,它们也在重塑软件测试与安全规则。与传统软件不同,AI应用本质上是非确定性的,其行为会随着新的数据和交互而不断演变。这种不可预测性要求软件开发人员要重新思考测试策略,并实施强有力的安全措施,来保护系统和数据。测试和安全团队必须采用创新方法,将传统测试方法与和DesignWise等先进的工具相结合,以应对这些挑战。
2025-03-13 15:09:36
930
原创 【代码质量与安全】SonarQube Server 2025.1 LTA版本发布,可自动检测GitHub Copilot生成的代码
本文来源sonarsource.com,由翻译整理。免费试用,欢迎联系我们:021-61210910,customer@shcsinfo.com最新的1 LTA(长期支持)版本(简称为2025.1)包含了一系列变革性的进步和广泛的改进,使其成为SonarQube Server历史上功能最丰富的LTA版本。无论您是开发人员、工程主管、DevOps工程师,还是安全与合规工程师,新的LTA版本都能为您的软件开发生命周期(SDLC)提供助力。
2025-02-28 14:48:13
945
1
原创 如何选择DevOps平台?GitHub、GitLab、BitBucket、Jenkins对比与常见问题解答
本文内容来源github.com,由进行翻译整理。欢迎通过021-61210910、customer@shcsinfo.com联系我们,免费试用。软件是当今领先企业的核心,而开发者则是软件的核心。GitHub作为一个完整的开发者平台,简化了从项目规划到构建、测试和部署的整个流程,提供了一个旨在大规模交付软件的一体化解决方案。从McKesson到Meta,从Spotify到SAP,世界上许多最大、最具创新性的公司都建立在GitHub上,与其他解决方案相比,GitHub是领先的开发者平台。
2025-02-28 14:20:16
1259
原创 代码质量与安全 | SQL注入、反序列化注入、日志注入......你的代码还安全吗?
在上面的代码中,我们创建了一个新的ObjectInputStream,其中覆盖了“resolveClass”方法,并包含对类名的检查。此外,攻击者还会注入日志以利用日志管理系统中的漏洞,从而导致进一步的攻击,例如远程代码执行。通过了解这些漏洞的性质,并实施有效的修复措施,例如使用参数化查询、避免不安全的反序列化做法以及妥善保护日志框架,开发人员可以显著降低这些攻击的风险。当应用程序使用这些值时,如果使用不当,可能会允许攻击者引入发送到数据库的额外查询,以检索不允许的值,甚至修改这些表以获得访问权限。
2025-02-13 10:11:12
1102
原创 软件开发 | GitHub企业版常见问题解读
无论是使用GitHub企业Server版进行自托管,还是使用GitHub企业云版,GitHub都为客户提供了对数据的灵活管理和控制。GitHub企业云版是给GitHub企业版的基于云的解决方案,托管在GitHub的服务器上。对于希望拥有更多数据控制权的客户,具有数据驻留功能的GitHub企业云版还提供了改进的企业级功能,对代码的存储位置有更多控制权。作为可扩展的平台解决方案,GitHub企业版使组织能够无缝集成其他工具和功能,并根据特定需求定制开发环境,提高整体生产力。
2025-02-13 10:02:40
1004
原创 自动化UI测试 | 什么是测试驱动开发(TDD)和行为驱动开发(BDD)?有何区别?
例如,创建一个类来测试密码长度,运行测试,然后根据设置的条件(密码长度是否为5-10个字符),检查输出的是true还是false。无论您是想为您的TDD进行功能测试、回归测试,还是任何开发人员主导的测试,Ranorex Studio都能为您提供自动化所有测试的理想平台。TDD(测试驱动开发)和BDD(行为驱动开发)是两种独特的软件开发技术,它们在测试的内容和方式上有所不同。是一款多功能且功能强大的工具,适用于开发人员和新手,它具有一系列功能,让您无需复杂的编码或手动测试即可创建和运行测试。
2025-02-13 09:58:19
759
原创 GitHub企业版:AWS CodeCommit迁移的最佳路径与技术优势
亚马逊网络服务(AWS)宣布:自2024年7月25日起,不再接受新客户使用AWS CodeCommit,并停止推出新功能。现有客户可继续使用,但需考虑迁移至其他Git服务,如GitHub企业版。GitHub企业版是统一的企业级开发平台,具备广泛的工具支持、AI辅助编码、强大的安全性、自动化CI/CD等优势。即刻体验?请联系GitHub中国授权合作伙伴——创实信息
2024-12-17 17:01:13
953
原创 Sonar基于SonarQube统一产品命名,助力提升开发者体验,以及本地、云端或IDE端的代码质量与安全
Sonar正围绕SonarQube简化产品系列命名!所有产品都将保留原有的强大功能,但现在将统一使用SonarQube的品牌名称
2024-12-06 18:19:07
481
原创 Sonar技术专家解读:AI时代下的代码分析需求&趋势、Sonar代码分析解决方案、SonarQube全新AI功能等
GOPS对话系列①:Sonar技术专家解读企业代码分析需求&趋势、SonarQube的最新技术更新,与AI技术的深度融合等,戳文详细了解↓
2024-11-04 16:09:33
431
原创 活动回顾 | 创实信息×Sonar共同亮相2024 GOPS·上海站,分享代码质量与安全解决方案实践应用、SonarQube企业版及全新AI功能等
创实信息×Sonar共同亮相2024GOPS·上海站!联袂呈现AI时代下,企业代码质量与安全提升“新秘籍”~速览活动回顾,一探究竟↓↓↓
2024-10-29 15:58:30
1008
原创 全球700万开发人员使用!一文全面了解SonarQube亮点、专业版优势及安全功能
SonarQube!作为一种自我管理、全面且自动化的代码分析解决方案,SonarQube可系统性地帮助开发人员和组织交付清洁代码。作为Sonar解决方案的核心组成部分,SonarQube可融入您现有的开发工作流程,并在对项目进行持续代码检查的过程中,检测代码库中的Bug和安全问题。
2024-10-23 18:02:03
1188
原创 Sonar推出AI代码保障&代码修复工具,帮助检测和修复AI生成的代码
这两款新的AI产品并非‘AI编码工具’,但我们会跟随您的开发过程,帮助进行代码审查,提供指导或指出需要关注的问题。” Sonar首席执行官Tariq Shaukat表示,“我们可以识别问题的类型和严重程度,并将这些信息在您的集成开发环境或代码审查阶段呈现出来。它有更复杂的Bug和安全问题,还可能让你产生幻觉,比如调用不存在的库或未定义的变量。AI Code Assurance基于SonarQube和SonarCloud托管服务,帮助您检查由生成式AI辅助生成的代码,确保其符合企业的质量和安全标准。
2024-10-15 14:32:53
1061
原创 活动邀请 | SonarQube×创实信息即将亮相2024 GOPS全球运维大会-上海站,分享代码质量与安全提升策略
大会为期2天,侧重大模型、DevOps、SRE、AIOps、BizDevOps、云原生及安全等热门技术领域。SonarQube是代码安全领域领先的解决方案,使开发人员和开发团队能够编写清洁的代码,并有机地修复现有代码。创实信息作为Sonar在中国的长期战略合作伙伴,提供SonarQube产品的咨询、试用、安装部署、培训、实施运维和技术支持等一站式服务。针对不同规模的开发团队和企业用户,SonarQube提供多种类型的产品版本供客户选择,包括社区版、开发者版、企业版和数据中心版,助力加强代码质量管理。
2024-10-06 16:06:45
1290
1
原创 自动化代码质量管理:SonarQube、SonarCloud 和 SonarLint助力开发团队轻松满足ISO 27001安全编码标准
这对开发人员的影响微乎其微,并且是可预测的,因为他们需要做的只是纠正发现的问题。对企业来说,确保满足控制要求,并确保这些控制在所有流程中有效运行是一项重大挑战,对于那些有着雄心勃勃的业务目标的软件开发公司而言,更是如此。此外,对高级管理层参与并承担责任的要求,可以确保做出战略和财务承诺,以实现更强的安全性。还可以向审计人员展示持续改进的情况,证实门槛的提高和所发现问题的数量减少。,其中包含调查结果和未解决的问题,以确保对所有产品、部门和团队的质量和安全性进行一致衡量。)可以无缝集成到您的开发和构建流程中,
2024-10-06 16:05:27
580
原创 深度解析SonarQube AutoConfig:如何重塑C/C++代码分析流程,提升开发效率
此外,即使使用CMake生成的编译数据库,仍然需要在构建后执行分析,以考虑任何生成的文件和获取的依赖项。在Sonar AutoConfig出现之前,载入项目并设置有效的代码分析需要穿越一个复杂的“迷宫”,其中包括针对不同构建系统、操作系统和CI提供商量身定制的配置和设置。无论您是在使用特定、鲜为人知的编译器进行嵌入式项目开发,还是在资源匮乏的小型项目中工作,AutoConfig都可以无缝集成,为您提供轻松的代码分析路径。在这里,高质量的清洁代码不再只是一个想法,而是每个C和C++项目的即时现实。
2024-09-04 10:12:13
1224
原创 GitHub企业云、GitHub Actions和Arm AE处理器协同应用,重塑云时代下的汽车嵌入式开发
随着人工智能对计算能力的需求不断增加,在边缘端和云端都推动了硅领域的空前变革,对敏捷、可扩展和持续优化的开发环境的需求从未像现在这样迫切。这种向基于云的开发和虚拟化测试环境的模式转变,不仅解决了嵌入式系统设计的复杂性和局限性问题,还大大减少了与物理硬件依赖性相关的开销。基于此,开发人员可以更加专注于创新,减少对复杂的硬件管理的关注,从而推动汽车行业进入一个软件开发更加集成、动态且能够迅速响应技术和消费者需求的未来。)建立开放标准,以及对开源资源的日益依赖,从而促进不同领域的重用。
2024-08-09 18:21:03
662
原创 深入解析SonarQube中的代码覆盖率:原理、设置与最佳实践
经过充分测试且代码覆盖率高的代码库可以增强开发人员的信心,并减少对在生产中引入新错误的担忧。代码覆盖率(也称为测试覆盖率)用于衡量自动化测试在代码库中所占的百分比。它突出显示了代码库的哪些部分已被测试覆盖,哪些部分未被覆盖,哪些部分被部分覆盖,从而为需要更好测试覆盖的潜在领域提供见解。相反,它是一个中心枢纽,用于从流行的代码覆盖率工具读取报告,并将这些结果与静态代码分析结果一起作为代码的通过/未通过指标呈现出来。更高的代码覆盖率表明更多的代码路径得到了测试的检验,从而在开发生命周期的早期识别并修复bug。
2024-07-21 14:22:25
2675
原创 网络研讨会精华回顾 | 创实信息×SonarQube:共同探讨如何借助Github Copilot和SonarQube,提升编码效率和质量
在演讲中,Justin chi详细介绍了SonarQube如何帮助开发团队自动检测代码中的错误、漏洞等问题,并通过实时演示,展示了AI编码工具Github Copilot如何集成至开发工作流,以及如何通过SonarQube和Sonarlint工具,帮助确保AI生成的代码质量,为开发者提供全方位的代码编写支持。然而,AI生成的代码并不都是安全可靠的。“借助GitHub Copilot,开发人员可以更快编写代码、专注于解决更大的问题、保持在工作流程中的时间更长,并能对他们的工作感到更满意。
2024-07-01 14:54:48
1025
1
原创 报名参与网络研讨会,了解如何借助Github Copilot等AI编码工具和SonarQube,提升编码效率和质量
Justin 是一名出色的解决方案工程师,擅长为不同行业的客户设计和实施量身定制的 IT 解决方案。他拥有15年的工作经验,擅长将复杂的业务、运营和技术要求转化为可扩展、高效和创新的解决方案。他经常和不同部门的相关负责人有效合作,推动达成共识,并在预算范围内按时交付项目。对代码质量与安全领域的各类工具链应用有专业、独到的见解,已帮助上百家大型企业成功落地业代码质量与安全解决方案。然而,正如许多开发者的亲身体验和调查研究所揭示的,AI生成的代码同样存在Bug和缺陷,在可读性、可维护性和安全性方面面临挑战。
2024-06-04 10:21:15
458
原创 从40%到70%+:CleverTap如何借助SonarQube提升代码覆盖率
它正是我们所需要的。由于SonarQube与所有最新的Java版本保持同步,因此当我们做得不对或有更好的技术时,它会告诉我们,甚至告诉我们什么是首选,什么是次选。在代码审查期间手动发现的很多问题都不复存在,我们可以将更多精力放在业务逻辑上,而不是关注一些次要和常见的问题,SonarQube 现在可以为我们处理这些问题。他们正在寻找一种工具来衡量测试覆盖率,并为他们的工程师建立一个代码质量标准,涵盖他们使用的所有语言,包括Java、JavaScript、Vue.JS、Objective-C和Swift。
2024-06-04 10:19:18
875
翻译 什么是检索增强生成,它如何赋能于生成式人工智能?
在当前人工智能领域,检索增强生成Retrieval-Augmented Generation(RAG)正成为热议话题。得益于RAG,用户在使用Github Copilot时更智能、更便捷、输出信息与互联网信息更同步。欢迎阅读本文,了解RAG及其功能。如需了解更多Copilot信息,敬请关注创实信息。
2024-04-15 10:51:12
131
1
原创 财税服务企业Datev如何选择清洁代码解决方案?SonarQube及同类工具能力对比
Sonar业界领先的解决方案使开发人员和开发团队能够编写清洁的代码,并有机地修复现有代码,这样他们就可以专注于自己喜欢的工作并最大限度地为企业创造价值。我们提供SonarQube、Ranorex和GitHub等产品的咨询、方案定制、实施部署、培训和运维的一站式服务。上海创实信息技术有限公司成立于2010年,面向企业提供软件协同研发、代码质量与安全领域的咨询、研发工具、实施、技术支持和二次开发,已为金融、通信、电子商务等行业的数百家企业成功提供服务。他们在组织目标中优先考虑“清洁代码”的计划已经在进行中。
2024-01-23 10:25:49
527
1
原创 最新研究发现,85%的开发人员使用GitHub Copilot和Copilot Chat时对代码质量更有信心
去年的研究发现,60-75%使用GitHub Copilot的开发者表示在工作中感到更有成就感,编码时更少挫败感,并且能够更好地专注于更令人满意的工作。通过利用自然语言的力量,该研究中的开发人员使用GitHub Copilot Chat实时获取指导、提示、故障排除、补救措施以及针对其特定编码挑战的解决方案,而所有这些都是在不离开集成开发环境(IDE)的情况下完成的。在另一个参与者审查完他们的代码后,最初编写代码的参与者查看了拉取请求上的评论,以确定哪些评论对改进代码的质量有帮助,以及评论的可操作性如何。
2024-01-08 10:17:51
1410
原创 保护代码,从机密出发:如何使用Sonar在代码中有效检测和防范机密信息泄露?
开源的好处在于,你可以了解它是如何完成的,并帮助做出改善。在IDE中使用SonarLint,当您在开发代码时,不小心将一个看起来像机密的字符串写入或粘贴到代码中,将触发Sonar的60个机密规则支持的110个机密模式之一。),或决定忽略它的警告,您将在SonarQube和SonarCloud中获得相同的检测功能,作为代码分支和拉取请求分析的一部分。例如,如果API密钥暴露在源代码中,它就可能被用于访问 API,从而可能导致数据被盗、服务中断,如果API与付费服务绑定,甚至会造成经济损失。
2024-01-02 16:21:47
659
1
原创 案例:Recruitics选择SonarQube来提升其代码质量,1-3个月内见投资回报
Sonar业界领先的解决方案使开发人员和开发团队能够编写清洁的代码,并有机地修复现有代码,这样他们就可以专注于自己喜欢的工作并最大限度地为企业创造价值。我们提供SonarQube、Ranorex和GitHub等产品的咨询、方案定制、实施部署、培训和运维的一站式服务。上海创实信息技术有限公司成立于2010年,面向企业提供软件协同研发、代码质量与安全领域的咨询、研发工具、实施、技术支持和二次开发,已为金融、通信、电子商务等行业的数百家企业成功提供服务。他们计划在明年将“清洁代码”作为企业目标的重点。
2023-11-28 13:19:44
122
原创 全面了解大型语言模型(LLM),以及如何更好地利用它
它们只依赖于所接受的训练文本,对世界的现状并不具备固有的认知。“他们的偏见往往更严重。齐格勒说,“这些模式可能是真实存在的,或者在LLM的情况下,这些模式可能基于已经被讨论或隐含使用的人类偏见。这篇文章将全面介绍LLM,包括它们的训练方法和道德方面的考虑,帮助您更好地了解LLM的能力,以及它们如何在看似没有推理的情况下如何学会掌握语言。正因为如此,虽然LLM可以成为非常强大和灵活的工具,但用于训练它们的机器学习方法,以及它们训练数据的质量(或局限性),也可能导致偶尔生成不准确、不实用和不可信赖的信息。
2023-11-10 16:38:51
297
1
原创 如何通过Sonar实现高效“清洁代码”?某计算机软件企业的成功之道
Sonar业界领先的解决方案使开发人员和开发团队能够编写清洁的代码,并有机地修复现有代码,这样他们就可以专注于自己喜欢的工作并最大限度地为企业创造价值。上海创实信息技术有限公司成立于2010年,面向企业提供软件协同研发、代码质量与安全领域的咨询、研发工具、实施、技术支持和二次开发,已为金融、通信、电子商务等行业的数百家企业成功提供服务。自从将Sonar纳入其开发工作流程以来,他们每周平均节省了1至5个小时或更多的用于处理糟糕的代码的时间。为我们的代码库建立全公司的“清洁代码”标准。
2023-10-23 15:52:49
199
1
原创 Sonar推出深层SAST,挖掘传统工具无法检测出的深层隐藏漏洞
每当您的代码与依赖项交互时,传统的SAST工具只能理解实际执行的代码的一小部分,因此会忽略深藏的漏洞。手动审查自己的代码库已经足够困难,还要审查所有来自依赖项中使用的功能的所有代码,以及它们与自身(也称为传递依赖项)的后续交互,这根本行不通。Sonar的清洁代码解决方案可以在您写代码的同时检测各种问题,Sonar团队也不断创新,研究新技术,以提供最全面的代码分析。当您的代码被扫描时,污点分析现在具有独特的能力,能够通过从全面的知识库中推断出缺失的知识,来理解代码和依赖项代码之间的代码交互。
2023-10-09 10:14:43
249
1
原创 GitHub企业Server版3.10现已推出,增加多个针对安全与合规的特性
通过代码扫描,在每个拉取请求中自动运行安全检查,将问题呈现在开发工作流的上下文中,使开发人员能够实时修复48%的漏洞,并在28天内修复72%的漏洞。在GitHub企业Server 3.10中,团队现在可以创建自己的自定义部署保护规则(测试版),建立严格的防护措施,确保只有通过了所有质量、安全性和手动审批要求的部署才能进入生产环境。升级至这个版本,企业能够通过加强的安全性和合规性控制,使开发人员和管理员提供更多对他们的存储库的控制,并确保安全开发是首要任务。因此,只要一个PAT被泄露,风险就可能很大。
2023-09-14 13:56:35
165
1
原创 SonarQube 10.1版本已发布,GitHub集成、C/C++代变体等多项改进不容错过
一旦设置了连接模式,SonarQube中标记的热点状态(例如,已修复、已确认安全)将立即反映在SonarLint中,并且仅显示需要用户关注的问题。通过对引擎进行了多项改进,我们能够在选定的top OWASP安全基准中,实现出色的90%以上的正确判断率(True Positive Rate,简称TPR)。这个最新版本更新了许多功能,包括自动同步来自GitHub的用户和组配置、Java安全分析覆盖率改进、多个C/C++代码变体分析等多个特定语言的改进、SonarQube用户体验更新,以及更好的新项目入门指导。
2023-08-28 16:28:31
355
1
原创 如何轻松提高代码质量?边写边清洁。
作为开发人员,你要对新代码负责。作为开发人员,你负责新代码,更具体地说,你负责新代码的质量。当然,这也适用于SonarQube发现的任何旧问题,就像它发现的新问题一样,因此,如果您查看“问题”页面上的“我的问题”过滤器,默认情况下,您将看到旧问题和新问题。然后,如果你单击“新代码期”值或“质量门限”条件,你所看到的内容会自动预过滤,只显示新代码中的问题。这是有道理的,因为管理人员承担了在生产中出现这些旧问题的业务风险,并且,他们也承担着主动修复没有人投诉的代码的业务风险,这可能会在修复过程中破坏其他内容。
2023-07-31 10:45:17
101
1
原创 Sonar吸收电影《龙威小子》理念,帮助开发人员编写“清洁代码”
就像在宫城先生的教学风格中,仅仅练习空手道是不够的一样,Sonar指导开发人员练习“清洁代码”也不仅仅是找到并修复问题,开发人员应该能够找到、理解并修复问题,并学会以最佳方式编写“清洁代码”。宫城先生的教学风格是成功的关键,因为它不仅仅是简单的执行,而是注重于实际应用和个性化教育,并采用直接的传授方式。积极与鼓励的环境:Sonar与您的工作流程集成,并通过结构良好的规则描述,在正确的位置和时间提供您需要的信息;长期关注:宫城先生追求对空手道的理解和欣赏,将其视为个人成长的手段,而不仅仅是胜利的工具。
2023-07-31 10:44:41
154
1
原创 AI写代码时代来临!教你如何使用GitHub的AI程序员Copilot
生成式的AI编码工具正在改变着开发人员日常写代码的方式。从记录代码库到生成单元测试,这些工具有助于加快我们的工作流程。然而,就像任何新兴技术一样,总会有一个学习曲线。因此,当AI编码助手无法生成他们想要的输出时,开发人员——无论是初学者还是有经验的人——有时会感到沮丧 (有没有相似的经历?例如,当我们要求GitHub Copilot使用p5.js(一个用于创意编码的JavaScript库)来绘制一个冰淇淋🍦时,我们一直收到与此无关的建议,有时甚至根本没有建议。
2023-07-31 10:42:07
990
1
原创 Python开发必备:SonarQube 9.9 LTS版本迎来强大Python分析器
是为了适应URL格式的变化。Sonar投入了大量的精力来确保只提出真正的问题,我们的开发人员一直在审查Python规则提出的问题,以确保它们是准确而相关的。SonarQube 9.9 LTS从Typeshed中提取数据,并具有更好的性能(仅计算一次符号,作为SonarQube的一部分提供,而不是在每次分析时计算),从而获得了性能更好、结果更好的分析。在SonarQube 9.9 LTS中,增加了对Python 3.10和3.11的支持,解析了新的结构,如match语句的多种模式和except*语法。
2023-06-09 14:29:05
892
1
原创 你绝不想错过这另外9大特性,升级到SonarQube 9.9 LTS一网打尽!
4月,我们发布了文章《代码质量与安全 | 升级SonarQube 9.9 LTS,轻松拥有这9大新特性!》,介绍了没有在大型发布公告中出现的一些特性,然而,还远远不止这些!这是Sonar有史以来最好的LTS,这个版本还有更多关于细微功能和改进的内容等待您来探索。
2023-05-19 10:51:57
613
1
原创 升级SonarQube 9.9 LTS,轻松拥有这9大新特性!
为了推出新的SonarQube LTS,Sonar投入了大量的工作。自2021年5月发布上一个版本SonarQube LTS (8.9)以来,在SonarQube及其基础组件中已经合并了数千个开发工单,其中包括新功能、对现有功能的改进以及Bug修复。
2023-05-19 10:49:53
644
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人