西南SONARQUBE静态安全扫描工具服务周到 华克斯信息

连续检查由奥利维尔 gaudin,sonarsource sa --兼共同创始人软件的范式转换管理介绍软件是每个商业企业日益关注的问题, 因为不断升级的角色软件在运行关键业务系统中发挥作用。软件包括外部和内部。外部或功能性, 描述软件与其定义的功能需求–它是否按预期执行？内部描述关键的内部代码的特性, 如健壮性、标准一致性和可维护性。行业统计显示, 平均而言, 软件产品的生命周期成本的80% 用于维护,根据内部, 维护成本有-的变-。这意味着水平软件产品的可维护性今天将决定其成本责任的水平明天。传统的代码控制方法涉及 so-called 的准时审核或门, 这是对源代码的定期审核。这些审计通常由外部审计员在开发过程的 -一英里-在功能测试期间或之后。根据他们的本性准时的审核会导致开发周期的中断, 因为它们会导致更改已完成 软件。在hao的情况下, 这种控制方-导致-和返工。在坏的情况是, 它导致了劣质软件的发布。在这两种情况下, 传统方法使人们认识到, 构建高的软件过于复杂和昂贵。迫切需要一个新的模式, 强调贯穿整个开发周期, 并有更短的反馈回路, 以-快速解决内部问题;简而言之,从一开始就建立的模型, 而不是事后考虑。连续检查是一个整体的、完全实现的过程, 旨在使内部代码成为软件开发生命周期的组成部分。更重要的是,它背离了基于数学模型,使其能够产生控制流的评估,对应于程序员的直觉的精神,或认知的努力,需要了解这些流动。通过提高所有利益相关者的-度生命周期, 连续检测使企业能够接受代码 whole-heartedly。在 sonarsource 的支持下, 连续检验范式是非常有效的, 并已被证明从小公司到-100强企业, 在现实中工作,各行业。本文详细介绍了代码管理中的关键问题。它然后介绍了连续检查范式, 并说明了它如何解决这些挑战,支持数以千计的企业提高软件。

sonarsource不断的检查, 新的软件范例, 解决和解决的关键挑战

在代码管理中:

太少, 太迟

推回

开发团队

缺乏过程

所有权

异构

要求

团队收到关于的持续反馈, 包括对一组

要求

一个清晰的, 更新的演变的图片-可用, 包括

版本间的比较

团队可以从介绍中-问题, 并提供反馈

一旦出现缺陷, 就会通知风险承担者

门每天执行

-的门迭代成为一个事件

开发商的持续教育导致良性循环的-

行动计划直接在团队内部生成, 并集成在

开发过程

软件是开发过程的一部分

-包括背景和历史信息, 包括不同

版本和对软件所做的各种更改

利益干系人可以访问有关其软件的有意义的信息

实时

开发团队一旦收到缺陷的信息

添加 (通过电子邮件, 在 ide 中可见,...) 使问题立即得到解决

团队获得开发-软件的能力

代码的归属属于开发团队

软件被嵌入到开发过程中, 成为

每个人的责任

整个组织都可以访问软件工具, 以

每个利益相关者

要求可以在团队中的共享、更新和评审

成员和整个组织

判断是以自动化的方式在客观的基础上做出的

事先发布到组织的标准。

报告清楚地显示了软件的可维护性, 并立即

不需要外部顾问就可以理解

开发人员的持续教育导致-的软件

从长远来看-

团队有能力测量新的和更改的软件

代码以及整个代码库

团队可以-新问题的注入

sonarsource交付管道, 

持续的交付和 devops 是众所周知的和广泛传播的做法现在。人们普遍认为, 重要的是组建-团队, 首先定义共同的目标, 然后选择和整合适合于给定任务的工具。通常, 它是一个轻量级工具的混搭, 它们集成在一起建立连续的交付管道并支持 devops 的计划。在这个博客文章中, 我们放大到了整个管道的一个重要部分, 这就是经常被称为连续检查的学科, 它包括检查代码并在上面注入一个门, 并显示在达到门后如何上传工件。在sonarsource的支持下,连续检验范式是非常有效的,并已被证明从小公司到-100强企业,在现实中工作,各行业。devops 的启用工具包括詹金斯、sonarqube 和 artifactory。

的用例你已经知道不能在事后被注入, 而是从一开始就应该是过程和产品的一部分。作为一种常用的-做法, -建议您尽快检查代码并使结果可见。因为 sonarqube 是一个-的选择。但 sonarqube 不只是运行在任何孤立的岛屿, 它是集成在一个输送管道。作为对这些问题的一种补救,认知复杂性已经被制定来解决现代语言结构,并产生的价值是有意义的类和应用程序级别。作为管道的一部分, 代码被检查, 并且仅当代码根据定义的要求是好的, 换句-: 它满足门, 被建立的工件被上传到二进制存储库管理器。

让我们考虑下面的场景。其中一个繁忙的开发人员必须修复代码, 并检查对中央版本控制系统的更改。白天很长, 晚上很短, 而且对所有团队的承诺, 开发人员没有检查本地沙箱中代码的。sonarqube是一个基于web的开源平台,用于测量和分析源代码的。幸运的是, 有构建引擎詹金斯作为一个单一的真理点, 实现交付管道与其本地管道功能, 并作为一个方便的巧合 sonarqube 有支持詹金斯管道。

此更改将触发管线的新运行。哦不！生成管线中断, 并且未进一步处理更改。在下面的图像中, 您会看到已定义的门被忽略。可视化是由詹金斯蓝色海洋完成的。

01 pipelinefailedblueocean

sonarqube 检验潜在的问题是什么？我们可以打开 sonarqube 的 web 应用程序并深入查找。在 java 代码中, 显然没有将字符串文本放在右侧。

02发现

在团队会议中, 决定将其定义为一个阻止程序, 并相应地配置 sonarqube。此外, 建立了一个 sonarqube 门, 以-任何建设, 如果一个拦截qi被确定。现在让我们快速查看代码。是的, sonarqube 是对的, 下面的代码段有问题。

03 findingvisualizedincode

我们不希望详细讨论所有使用的工具, 也涵盖完整的詹金斯构建工作将超出范围。但有趣的提取这里的检查方面是在詹金斯管道 dsl 中定义的以下阶段:

配置. xml: sonarqube 检查阶段 (sonarqube 分析) {withsonarqubeenv (声纳) {mvn 组织 sonarsource 扫描仪. maven: 声纳-maven-插件: 3.3. 0.603: 声纳 +-f 所有/pom xml +-dsonar projectkey = com. huettermann: 全部: 主 +-dsonar 登录 = $ sonar_un +-dsonar 密码 = $ sonar_pw +-dsonar 语言 = java +-dsonar。 的+-dsonar。 的+-dsonar 测试. 夹杂物 = ** 测试 --- +-dsonar. 排除/**/** 测试 ---}}用于运行 sonarqube 分析的-阶段。允许选择要与之交互的 sonarqube 服务器。运行和配置扫描仪, 许多可用的选项, 请检查文档。许多选项可用于集成和配置 sonarqube。请参阅文档中的替代方案。同样适用于其他覆盖的工具。sonarqube 门作为詹金斯管线阶段的一部分, sonarqube 配置为运行和检查代码。作为公司越来越需要提高和-的后果的方法软件开发是可见的,可以对创收产生-的损害,并客户和前景的参与,我们认为迫切需要-的行为关于代码。但这仅仅是第yi部分, 因为我们现在还想添加门, 以-构建。下一阶段正好涵盖了这一点, 请参阅下一片段。管道被暂停, 直到门被计算, -是 waitforqualitygate 步骤将暂停管道, 直到 sonarqube 分析完成并返回门状态。如果遗漏了门, 则生成将中断。