一、SonarLint是什么
SonarLint也就是SonarQubeforIDE,它可以帮助你写出CleanCode. 搭配SonarQube使用可以更好的分析代码,dashboard会在页面展示代码的Bug、漏洞、待审查热点、异味、代码重复比例和总的代码行数以及使用的语言类型,如果有测试代码,则还会显示测试覆盖率。
图1 SonarQube Dashboard展示样例
二、SonarLint如何安装
当然不安装SonarQubeServer也可以使用,插件主打一个简单好用。在大多数情况下,SonarQube for IDE可以直接从您的IDE市场安装。这里介绍vscode里面sonarqube插件的使用,首先按照如下步骤安装插件,选择VS代码左侧栏中的扩展图标;然后在搜索栏中输入SonarQube for IDE(我称之为SonarLint),点击安装,安装完成后可以看到SonarLint的图标,如果看不到重启一下IDE. 另外可以在ConnectedMode中配置SonarQubeServer.
图2 在vscode里面安装SonarQube插件
三、SonarLint如何使用
然后打开工程文件,SonarLint就会自动检查当前文件的代码问题、漏洞、安全问题等,并展示在下面的Panel的Problems列表里面。如果看不到下面的Problems小框可以点击图3所示右上角的TogglePanel图标。
图3 SonarQubeforIDE
然后,你可以查看每条问题详情,把光标放在问题上点击鼠标右键查看问题详情。也可以关闭该规则,那么SonarLint就不会再提示这个问题了。
如果问题匹配了相关标准(例如CWE、OWASP-TOP10等),也会在问题详情的MoreInfo中展示出来。如下图4所示。注意,这里要匹配Standards而不是图3的Documents,这样才能在SonarQubeDashboard里面的"问题"-->"标准"里显示出来。
图4 SonarQubeforIDE查出匹配了OWASP-TOP10标准的问题
四、拓展——SonarQube
需要说明的是SonarLint查出的问题是不会上报到SonarQube的,页面上展示的问题是和SonarQubeServer做了关联才能显示。这里不是VSCode插件的范畴,但是可以拓展说明一下。
SonarQube非常成熟,可以和Jenkins等集成使用,定制定时服务或者push触发来检查代码。
另外,可以用最简单的命令方式,在SonarQube新增手动项目,使用本地方式:
执行结果如下图所示,按照提示到指定URL查看结果。(就是类似图1)
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
