文档
https://docs.sonarsource.com/sonarqube/latest/
SonarQube 是一款静态代码分析工具。 包含各种语言的分析检测。
本地安装,也可以安装到自己的服务器。
官方介绍:
SonarQube 是一种自我管理的自动代码审查工具,可系统地帮助您交付干净的代码。作为我们声纳解决方案的核心元素,SonarQube 集成到您现有的工作流程中,并检测代码中的问题,以帮助您对项目进行持续的代码检查。该产品分析了 30+ 种不同的编程语言,并集成到 DevOps 平台的持续集成 (CI) 管道中,以确保您的代码符合高质量标准。
编写干净的代码
干净的代码是所有代码的标准,这些代码可以产生安全、可靠和可维护的软件,因此,编写干净的代码对于维护健康的代码库至关重要。这适用于所有代码:源代码、测试代码、基础结构即代码、粘附代码、脚本等。有关详细信息,请参阅 Clean Code。
Sonar 的 Clean as You Code 方法消除了在开发过程后期审查代码时产生的许多陷阱。“即码即净”方法使用质量门,在新代码(已添加或更改的代码)中有需要修复或审查的内容时提醒/通知你,使你能够保持高标准并专注于代码质量。
SonarQube是开源的,但它还包括了许多收费的插件和额外的支持服务,这些只能在商业许可下使用。SonarQube是按照扫描的行数进行计费的,以年为单位进行订阅。免费版本支持的代码行数范围是10万行到1亿行123。如果想申请免费试用收费版本,可以先在官网下载对应的版本,然后填写相关申请信息。
1、官方下载安装包
https://www.sonarsource.com/plans-and-pricing/
按需求选择 免费或者收费
2、服务器环境 至少要java11以上版本
安装成功后,访问http://localhost:9000
默认登录账号密码 admin admin
3、创建项目
4、访问项目的代码分析,这是我后面分析完成后的报告,大概十来分钟
SonarQube 的关键指标
SonarQube 使用三个主要指标来评估代码质量:
Security(安全性):
代表代码中的安全漏洞
包括潜在的安全威胁,如 SQL 注入、跨站脚本攻击(XSS)等
是的,Security 主要关注的是安全漏洞
Reliability(可靠性):
代表代码中可能导致错误或意外行为的 bug
包括逻辑错误、空指针引用、资源泄漏等
这些问题可能导致程序崩溃或产生错误结果
Maintainability(可维护性):
代表代码的可读性、复杂性和可修改性
包括代码重复、过于复杂的函数、不良的编码实践等
这些问题可能使代码难以理解、修改和维护
,
不得不说thinkphp3的 漏洞还是很多的。 毕竟是前期的版本, 哪个程序员不会写bug呢