前言:
在测试的世界中,bug在越早发现的成本越低,而代码扫描和单元测试,是在早期帮我们发现程序中存在问题的有效手段,代码扫描其实不仅能帮我们发现程序的漏洞,也能督促开发更规范优雅的去写代码,而SonarQube是一个很好的管理代码质量的开放平台,但SonarQube到底能帮我们干什么呢????
下面就根据示例的接口web项目扫描结果一起来分析把~
SonarQube常见扫描结果分析
一,扫描结果总览
在安装和配置好SonarQube后(如何安装和配置网络上很多,此处就不详细介绍了),扫描的结果如下图:
Bugs,漏洞,异味,覆盖率(根据不同的语言可集成不同工具,例如:java和jacoco),重复;
二,优先级1位之Bugs
项目中扫描出来的Bugs大部分是以下两个:
(1)A "NullPointerException" could be thrown;
经常出现的空指针异常(楼主写得太狂放不羁了,项目中一大半是这个错,捂脸中...),顾名思义,就是不管是常见的Java类型,还是对象,它可能是个null,然而我们并没有对其做处理,所以一般解决办法如下:
1.增加条件判断
List<String> books = Dao.getData();
if(books!=null){
int size = books.size();
}
2.捕获异常
List<String> books = Dao.getData();
try{
int size = books.size();
}catch(NullPointerException e){
e.printStackTrace();
System.out.printLn("size = 0");
}
3,尽量不要给一个对象null,不然去.该对象里面某个方法还是会报空指针异常
(2)Use try-with-resources or close this "FileOutputStream" in a "finally" clause.;
在使用输入输出流的时候,流的关闭未放在finally里面,当程序出现异常时,就会导致流的关闭不成功,如下图:
解决方案:
将流的关闭代码写在finally里面就可以了;
三,优先级2位之漏洞
楼主项目中最常见和傻的漏洞
Use a logger to log this exception.
漏洞原因: e.printStackTrace();是在调试的时候打印错误日志,但是可能会无意中暴露敏感信息;
建议使用:LOGGER.log(“context”,e);用户可以轻松方便在日志文件中检索错误日志
四,优先级3位之重复率
好的代码应该不是大量重复代码的堆砌,所以代码重复率很高的地方,可能就需要我们的优化了,相同的代码可以考虑静态出来一个工具方法,类中属性的重复可以抽象出父类,总而言之,优化他们,让我们的代码写的更优雅!
对一个项目扫描出来的问题远不止这些,这里分享的只是一些常见和简单容易犯的错误,更多规则和质量阀的指定还需要根据自己公司实际情况进行制定,一起努力吧。
以上~对你有帮助的话,点个喜欢❤️吧~~
