华东sonarqube安全审计-华克斯(商家)

sonarsource 城市之旅2016丹切2016年5月26日在10:14pm今天我参加了伦敦 sonarsource 城市之旅。sonarsource 制作两个 连续代码 工具: sonarqube;和 sonarlint。

雷迪森 sas 波特曼酒店举办的---活动约50与会者。我们听到了一些适当的技术介绍， 从奥利维尔 gaudin， 弗雷迪槌， 和 sonarsource 的尼古拉斯秘鲁和邓肯波克林顿从微软。

技术债wu这---开了一个问题。谁负责代码？还是 qa？

是不加掩饰的: 开发商。

在某些情况下， 引入技术债wu是可以的， 但团队需要了解他们所创建的问题的权衡和存在的程度。hao的方法是通过客观和一致的测量。

修复泄漏知道你有问题是一回事。修理它是另一回事。

这---的首要主题是 修复泄漏: 当你有一个漏水的管道， 你应该先修复它还是先把它擦干净？如果你不首先解决问题的根源， 那么清理就不是很有用。

(这对我来说---的伤感， 因为我在家里的水管漏水， 所以我迟到了。

在实践中， 这意味着设置一个的酒吧 (或 门 的 sonarsource 行话) 新的变化， 但大多忽略现有的问题， 直到你得到控制的事情。

这似乎是一个---的方法， 有两个原因:

它减少了在---的基本代码上开始的摩擦力， 因为你可以假装你是从一个干净的石板开始;这是沙子上的一条线， 它为球队的前进设定了期望。奥利维尔不厌其烦地强调， 有一个自动化的工具， 实施这种行为不会减轻你的教育团队的jia做法。每一个指标都可以博弈， 所以你需要让人们在船上的概念， 真正充分利用它。

sonarqubesonarqube 度量您的代码库的可维护性、---性和安全性， 并---随着时间的推移而改进。它还---了代码中特定的代码气味， 应该是固定的。

sonarqube 是由超过75k 的公司使用的， 其中一些有数以千计的开发人员和数百万行代码。它成为事实上的代码工具， 因为它的介绍8年前， 超过其 java 根现在支持超过20种语言。

弗雷迪给了我们一个简要的特点， 从近的版本， 包括 v5.6 (将在几个星期内发布)。

值得注意的是， 现代化的体系结构不再需要分析器和数据库之间的直接连接。这一切都通过了一个网络服务， 这是更明智的。

评级也正在完善。现有的 sqale 度量对衡量项目的可维护性很有好处， 但它没有考虑到问题的---性。它也没有真正与泄漏概念的网格。

在 sonarqube 5.6 中，sonarqube安全审计， sqale 将重新命名为可维护性，sonarqube安全审计， 并且将为性、安全性和---性提供新的评级。将所有这些信息一起放在所有项目---是一个新的治理仪表板 (一个商业插件)。

路线在工作中， 我们使用 gitflow。我们不想合并一个功能分支， 如果它会降低项目的， 因此我们---希望了解分支支持在 sonarqube ---如何改进。

已经有拉请求集成与 github 和藏匿， 让你知道什么时候合并会引入债wu。

但是， 目前在 sonarqube 内部， 单独的分支被视为单独的项目。配置是重复的， 而且更糟糕的是， 每个功能分支都包含了主分支中的所有问题和债wu。

这是幸运的 sonarsource 的一个高优先级， 虽然它不会被---时， 它将船舶。目标是将项目的所有分支作为对主分支的比较。

群集是路线图的一个令人惊讶的补充， 因为这看起来不像是一种需要支持大量负载的产品。然而，sonarqube安全审计， 一些真正---的设施确实存在于野外， 它可以利用多个 web 服务器与同一数据库进行对话。

当弗雷迪--- sonarqube 为服务时， 群集的隐藏议程变得清晰明了。这将是一个免费的开放源码项目服务， 可以分析任何地方托管的项目 (虽然它需要一个 github 帐户进行身份验证)。它将支持所有的内置 sonarsource 插件， 但没有第三方的。这对开源社区来说是一个---!

后， 我有机会问墙和集成系统， 如 jira。一般的意见是， 这些应该处理外部 sonarqube 本身， 并集成使用的全功能的 rest api 暴露的 sonarqube。

sonarlintsonarlint 是您的 ide (eclipse、intellij 或 visual studio) 的插件， 它在您键入时标记代码问题。这个想法是为了防止泄漏之前， 他们共享与其他的研发

sonarsource

提高应用价值， 降低软件开发风险

成功的组织在过程中向前移动分析并使其迭代

作为整个软件开发生命周期的一部分。开发和测试和业务

方法以及正在向敏捷模型演进-持续的价值生成/连续

改进/连续检验是提高的重要战略。这些都是

idc 为 end-user 客户和服务提供商所观察到的关键策略:

?传统的代码方法通常在测试成为检查表项时失败

在开发过程结束时， qa 团队运行一个工具并返回

开发团队在软件进入之前需要采取的行动列表

生产.这可能导致---和预算超支。所以会发生什么

经常是管理标志移动项目， 没有门

发展.

?在项目开始时从项目代码分析中收集适当的度量标准

是---的。如果没有正确的度量标准 (或任何度量标准)， 代码库可能会在没有人注意的情况下恶化， 或者在技术债wu达到一定的时候才会注意到

在时间和预算---的情况下， 成本太高而无法解决的级别。收集

代码度量连续可以提供可见性， 并使团队的优势

控制代码库的技术债wu。

?理解要修复的代码也是的。通常， 团队开始重构

因为他们认为代码库在性能、脆性、不稳定性方面是不好的，

难于维护和扩展。但如果没有正确的语境分析， 它是

无法检测到代码库的哪个部分负责所遇到的问题。

因此， 更改可能会应用到错误的代码， 或者正确的代码被重构

错误的方式， 或只有部分问题得到解决。这是一个度量和工具的领域

可以通过标识导致问题的代码部分来帮助。

---持续的软件是成功的关键

end-user 公司和服务组织都必须运行软件开发作为

业务.这样做的一部分是管理软件的远程可维护性， 即

发展今天你需要保持明天。积极主动的架构， 也

所创建内容的是管理软件长期支出的关键

维护;保存错误的、结构较差的软件是更昂贵的。

在这方面， 应用程序维护团队还需要对软件进行可视化， 以便能够---地

维护代码以降低成本， 实现---的， 并提高客户响应能力

和 roi。在将任何代码发送到客户之前， 为代码建立一致的进程

分析可以帮助---必须运行软件的公司的长期改进

有效地发展。

sonarsource 和 sonarqube 平台

sonarsource: 介绍

sonarsource 是一家瑞士公司， 成立于2008年。该公司诞生的愿望

处理和解决与软件相关的不断增长的问题， 并为市场带来解决方案

可以---的软件开发过程中的代码。在竞争激烈的市场中

来自少数提供商的服务， sonarsource 的投资组合是由它的根在开放的区别

来源， 其可访问性， 和一系列的参与选项从包装和定价

角度.

sonarqube 平台被创造了并且采取了到市场 (作为 声纳)， 与 sonarsource

在2009年10月发布该平台的第yi个商业插件。到 2010年3月，

sonarsource 开始看到社区和企业都接受了 sonarqube 平台，

到那时， 一个月被超过2000次。在 2010年5月， sonarsource

发布的 cobol 和 visual basic plug-ins， 随后几个月后由一个 sqale 插件，

c# 插件 (2011年6月) 和 pl/sql 插件 (2011年9月)。

该公司的主要意图是带来负担得起的和直观的解决方案和分析

开发人员还提供了广泛、分布式使用的功能。今天， sonarsource 有

约有350客户， 包括德意志银行、美国银行、米其林、

西班牙、法国巴黎银行、泰雷兹和 eads。sonarqube 平台使用约300

客户， 与3万和4万安装。该公司已看到的

在过去几年的增长， 它现在雇用了超过30员工， 从20人

就在12月前