代码分析
综合性的代码分析平台:sonar 支持自定义规则, 较多的公司使用
IDE辅助功能:xcode、android studio
独立的静态分析工具:findbugs、androidlint、scan-build、pmd、阿里巴巴java开发规范pmd插件
image.png
代码审计关注的质量指标
代码坏味道:代码规范、技术债评估 代码重复度、圈复杂度
bug和漏洞
单元测试规模
覆盖率分析
代码静态检查
代码语法分析:lint系列,通过分析语法树和源代码,检查代码规范
编译器分析:借助于编译器获得代码关系
字节码静态分析:分析jar、war、dex等格式的文件,代表工具:findbugs
sonarqube架构
image.png
sonarqube部署
临时性的部署
docker run -d --name sonarqube \
正式部署,最新版本的sonarqube不再支持mysql了
docker run -d \
默认配置
用户名密码:admin admin
http://sonarqube.testing-studio.com/
image.png
sonarqube的代码分析流程
image.png
想学好sonarqube平台,就要先从sonarqube架构开始学习。了解架构后,在进行部署等操作。后面我们会继续为大家介绍Sonqrqube scanner的使用等,敬请期待哦~
****推荐学习****
