后台代码扫描规则-sonarQube官方

前两天在整理sonarQube的官方规则(我们要开始新的项目,老大说要在最开始的时候,制定好前后端的代码规则,方便后续的扫描调整),记录一下~~

是的,没错,小菜的我是负责指定后端规则的,这里需要强推sonarQube官方的代码规则。

在开始确定我们自己的项目后端代码规则之前,项目负责人和我们一直在讨论是使用sonarQube官方还是P3C(阿里大厂提供的一套规则)的规则比较好。我们用两套规则扫描了同一个工程的代码(172M的代码量),验证结果是:

1、扫描时长:P3C 60s VS 官方 57s;

2、扫描结果(仅关注比较重要的bug数和漏洞数):

       1).bug数:P3C 0 VS 官方 10

       2).漏洞数:P3C 0 VS 官方 92

此外,官方的规则(7.9.1)支持jdk1.8版本,而P3C(3.2.0版本)则不支持jdk1.8。

最重要的一点其实是:我们最开始考虑P3C是因为在网上看到了他的汉化包(官方的全英文看起来还是很有压力的),然后据说扫描报错的结果也是中文说明。但亲用的结果发现根本就不是这样,先不说仅功能测试通过的代码扫描出来没有Bug(无法验证报错是不是中文说明),连网上看到的汉化包也是万能的网友自己把规则下下来之后,自行翻译了一份(我猜他的六级一定过了~~羡慕)。

在没有了中文优势之后,P3C的规则解释简单不全、规则覆盖度不高等确定就暴露了出来,而且,P3C的规则条数是318,而官方的规则条数是381,反正都要处理,也不差63条了。

种种的对比之下,我们毅然决然的选择了sonarQube的官方规则。嗯,这也导致了我上个周日,顶着大台风天到办公区处理规则,以及昨天晚上1:30睡,今天早上6:00起床玩命的确认规则了~~~~

这里也附上我整理的规则可对外版本:sonarQube官方规则简单解读

在整理这个的过程中,我只感觉自己基础知识欠缺的很严重,不废话了,继续去写技术类文档了~~

(我才不会告诉你们,这篇文档我原本是想写关于java向量的,写着写着成了技术预演的记录篇)

 

posted @ 2019-08-27 16:52  篱笆的嫩  阅读(2951)  评论(1编辑  收藏  举报