SonarQube简介
SonarQube是一个代码质量管理开放平台,它集成了数千种自动的静态代码分析规则,
以python为例,典型的静态代码分析规则:
l "break" and "continue" should not be used outside a loop
l "yield" and "return" should not be used outside functions
l Methods and field names should not differ only by capitalization
旨在提高开发人员的代码质量和安全性,使得开发人员编写更加干净,更加安全的代码。主要提供了三个比较大的功能:
- 代码可靠性支持:提前捕获和提示代码中的错误,从而避免未定义的行为影响到终端用户。
- 应用安全支持:修复可能危害到应用程序的漏洞,并通过安全热点学习AppSec(简单理解就是会学习和识别新的漏洞)。
- 技术债务支持:确保管理的代码库干净并且可维护,以便提高开发人员的开发效率。
目前SonarQube支持27种编程语言,基本上覆盖了当前主流的编程语言编写的项目:
上面谈到的功能可能比较泛,实际上,研发团队可以基于SonarQube做下面的事情:
- CI/CD流程加入一个SonarQube扫描的环节。
- 实施代码质量阈值,只有通过了这个质量阈值检测才能进入下一个流程。
- 代码质量低于阈值的项目要及时调整对应的代码。
质量阈值可以进行自定义,SonarQube中针对每个项目会有详细的面板信息,里面会给出项目当前的健康状态,不同级别漏洞的分类和明细,漏洞对应提交者等多维度的统计信息,方便进行问题的追踪和修复。举个例子,笔者在上一家公司项目上线需要跑一个流水线,而SonarQube设定了不同等级的阈值,对于老项目,会使用最低等级的阈值:阻断性的错误数量要求为0,对于一些新的项目,则严格要求质量如严重性的错误要求为0等,只要无法通过质量阈值检查,那么项目是无法上线的。