SonarQube(代码审计)

简介:

SonarQube Server 2025.1| Documentation

sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。Sonar 拥有 针对每种编程语言量身定制的广泛规则库 。 

分析erlang源码

需要将.beam反汇编成elang

定位:

Sonar 主要是提高代码编写质量,辅助开发人员进行高质量开发; 通过集成安全规则,可以检测出一些常见的安全漏洞,帮助开发人员在早期阶段发现并修复问题。

Sonar架构:

  • SonarQube Server:核心服务器,负责管理项目、存储数据和生成分析报告。
  • SonarQube Database:存储所有的分析结果和配置。
  • SonarQube Scanner:执行静态代码分析,并将结果发送到SonarQube服务器。
  • SonarQube Plugins:提供扩展功能,支持更多编程语言和分析规则。

SonarQube报告评估结果的内容:

Understanding project measures | SonarQube Server Documentation

  1. 质量门(Quality Gates):整体的质量评估,包括技术债务、覆盖率等。
  2. 问题类型(Issues):Bugs、Vulnerabilities、Code Smells等各类问题。
  3. 技术债务(Technical Debt):项目中的技术债务量和修复所需时间。
  4. 代码覆盖率(Code Coverage):单元测试覆盖率,行覆盖、条件覆盖等。
  5. 重复代码(Duplicated Code):代码重复情况。
  6. 复杂度(Complexity):代码的复杂度,特别是圈复杂度。
  7. 代码注释(Code Comments):注释的完整性和质量。
  8. 依赖关系(Dependencies):外部依赖的安全性和更新情况。
  9. 排除文件和目录(Exclusions):被排除的文件和目录。
  10. 趋势分析(Trends):代码质量的历史变化趋势。

总结:

从分析结果来看,认为该工具主要还是帮助开发团队识别并修复潜在的代码问题,持续提升代码的质量和安全性。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值