华克斯-华中sonarqube静态安全扫描工具

SonarLint –为 c#、、Java、JavaScript、PHP 和 Python 提供一个免费的静态分析工具5月3日， 2017Code 质量， 评论， Toolingsonar 皮棉， 视觉工作室这是一个. NET 的重点帖子。

很高兴看到人们正在构建的东西， 现在 c# 编译器是开源的。我们实际上是在工具中游泳， 这不是一件坏事， 但我需要考虑我的开发管道中有多少工具。我目前在日常工作中使用 ReSharper 和前缀。NDepend 和 PVS-工作室每周一次的基础上， 但只在个人和开源项目。我可以在混合中添加另一个吗？确保!这不是侵入性的，华中sonarqube静态安全扫描工具， 不会与 ReSharper 或 VS 代码提示冲突。在报告代码相关问题的方式上也有一些轻微的幽默。

通过 IDE 的用法

使用此工具的选项尚未更改， 但它支持三shou欢迎的 IDE 的:

IntelliJ视觉工作室蚀全mian的语言支持来自 IntelliJ 和 Eclipse 的 IDE。如果您使用的是 Visual Studio (VS)， 那么您将得到一个很好的 c# 和 规则集。

您也可以在命令行中使用它， 这对于连续生成管线来说是的。需要通过 MSBuild 进行分析， 因为它们的命令行工具当前未按广告方式工作。运行分析是很*的， 而且我可以在构建的末尾处理一个 XML 文件， 以生成报告或存储某处以便随着时间的推移进行分析。需要注意的一点是， XML 报告将在每个项目目录中生成一次。

msbuild MySolution.sln/p: RunCodeAnalysis = true/p: CodeAnalysisLogFile = MyXmlReport. xml1msbuild MySolution.sln/p: RunCodeAnalysis = true/p: CodeAnalysisLogFile = MyXmlReport. xml与 Visual Studio 中的规则交互

有一个广泛的214规则 c# 和62的 ， 虽然它们不是所有的默认启用。可以对规则进行定制， 以便为一个项目运行一个规则集， 并为另一个项目设置另一个规则集， 我将在短期内解释。

在真正的 VS 时尚代码， 违反了其中的一个规则得到一个弯曲线下面的代码行， 然后可以处理通过按 ctrl+。还有漂亮的功能， 这是新的 VS2017， 它使工作与分析仪更愉快。它不仅允许我修复当前正在查看的问题， 而且还可以解决相同的问题文档、项目或解决方案。很好。

正如您在下面所看到的， 还有用于禁止规则的选项。您可以内联或在它为您创建的全局抑制文件中执行此项。

# 杂注指令还有一个说明作为注释， 它可能对其他开发人员有帮助。通常我需要查找杂注代码， 所以这是一个不错的 VS 功能， 提高了整个开发人员的经验。

我真正喜欢的另一个特性是， 这些警告给出了一个简短的段落， 解释了规则冲突背后的原因。这个特别的警告是真正引起共鸣的东西， 因为我不喜欢注释代码。应删除死代码。如果**会，代理商sonarqube静态安全扫描工具， 你认为你会需要它后， 那么没有问题， 这就是源代码管理的是!

如果您需要完整的规则列表， 我发现联机帮助非常有用， 因为您可以通过各种带有标记的规则类型进行筛选。

定制规则

与 VS works 的代码分析方式保持一致， 您可以通过右键单击分析器节点 inVS 并选择 '打开活动规则集' 来访问规则列表。

从那里， 规则集只是另一个类别节点。如果您想了解有关定制规则集的更多信息， 我有一个关于 Visual Studio 代码分析的博客文章， 它将在更深入地进行。

一个知道的陷阱

我无法得到规则运行在构建和不断得到这个错误。

警告 CA0064: 由于无法加载指ding的规则集或不包含任何托管代码分析规则， 因此未执行任何分析。

我确实在 SonarLint 谷歌集团发布了一个问题， 但据我所知， 它是孤立于我的机器。如果发生这种情况， 您需要添加分析器程序集 SonarAnalyzer.CSharp.dll， 如下所示。

如果希望分析在生成时运行， 请通过 '项目属性' 并单击 '在生成时启用代码分析'， 在每个项目基础上启用分析。

SonarSource结论

由 SonarSource 设计和实现，代理商sonarqube静态安全扫描工具， 内部质量连续检测是一个整体，完全实现的过程， 旨在使代码质量成为软件开发生命的一个组成部分循环并提高其在整个生命周期中的所有利益干系人的可见性。连续检查范例是非常有效的， 并已被证明是在现实世界中工作， 在所有行业从 one-man 商店到财富100强企业不等的组织。连续检测是一种新的软件质量模型， 它包含较短的反馈回路确保快速解决质量问题。简而言之， 它是一个从一开始就建立质量的模型，而不是事后考虑。随着持续的检查， 发现质量缺陷-和纠正--在开发过程的早期， 影响很小而且易于管理。一些问题将在开发人员的 IDE 中被的捕获， 然后再进行签入。其余的将被报告在一天内， 虽然代码仍然是新的开发人员的头脑和修复仍然*和*。这快速反馈周期具有提高质量和教育的双重效益。连续检查很好地适应了敏捷和瀑布开发环境，中国sonarqube静态安全扫描工具， 并解决了传统方法的缺点。持续的检查提供了改进的质量对开发过程和时间线的xiao中断。持续的检查促进了团队协作和生产力的增强， 并产生了强大团队对代码质量的归属感， 因为质量过程与代码本身一样， 是由团队。在那里， 准时的审计被嘲笑为*过时， 并忽略增量软件开发的性质， 连续检查提供了一个即时性和清晰的图片软件质量随时间推移。随着持续的检查， 质量的感知成本是零， 因为质量是混合无缝地进入开发过程本身。经过不断的检验， 企业终于可以接受代码质量 whole-heartedly， 并da化其软件 ROI。

SonarSource不断的检查， 新的软件质量范例， 解决和解决的关键挑战

在代码质量管理中:

太少， 太迟

推回

开发团队

缺乏过程

所有权

异构

要求

团队收到关于质量的持续反馈， 包括对一组

质量要求

一个清晰的， 更新的质量演变的图片随时可用， 包括

版本间的比较

团队可以从介绍中跟踪问题， 并提供反馈

一旦出现质量缺陷， 就会通知风险承担者

质量门每天执行

的质量门迭代成为一个事件

开发商的持续教育导致良性循环的改善

质量行动计划直接在团队内部生成， 并集成在

开发过程

软件质量是开发过程的一部分

评论包括背景和历史信息， 包括不同

版本和对软件所做的各种更改

利益干系人可以访问有关其软件质量的有意义的信息

实时

开发团队一旦收到质量缺陷的信息

添加 (通过电子邮件， 在 IDE 中可见，...) 使问题立即得到解决

团队获得开发更好软件的能力

代码质量的归属属于开发团队

软件质量被嵌入到开发过程中， 成为

每个人的责任

整个组织都可以访问软件质量工具， 以

每个利益相关者

质量要求可以在团队中的共享、更新和评审

成员和整个组织

质量判断是以自动化的方式在客观的基础上做出的

事先发布到组织的标准。

报告清楚地显示了软件的可维护性， 并立即

不需要外部顾问就可以理解

开发人员的持续教育导致显著的软件质量

从长远来看改善

团队有能力测量新的和更改的软件质量

代码以及整个代码库

团队可以跟踪新问题的注入