SonarQube 是开源的代码质量分析平台, 用来持续分析和评测项目源代码的质量。{SonarQube }可以检测出项目中的重复代码、潜在bug、代码规范、安全性漏洞等问题,并在SonarQube平台上查看、审计等。
关键功能
1. 支持27种编程语言的代码质量分析
2. 支持4000+类代码质量和安全漏洞规则
3. 指导开发人员经验
4. 支持自动分支分析
5. *二次开发实现DevOps流程自动化
6. 支持50+插件集成,具体请参考苏州华克斯信息科技有限公司网站说明
SonarQube从七个维度来分析代码质量问题:
可靠性
安全性
可维护性
覆盖率
重复
大小
复杂度
问题
单论代码分析能力,拿SonarJava举例,华北sonarqube安装配置,对于大多数zui佳实践类型的问题,比如不该使用MD5,代理商sonarqube安装配置,不要用主线程sleep等,都还是查的不错。但是真正严重的安全漏洞,比如SQL注入之类的污点传播类问题,一般涉及跨文件,代理商sonarqube安装配置,函数,中国sonarqube安装配置,以及涉及对虚函数、数组、容器的处理,还要识别通过框架等配置的数据处理逻辑,那就无能为力。
这也是SonarQube分析器跟Fortify工具的差距所在。
· Regex Rule for FileNameRegex and ContentRegex
· Structural Rule for Cloud Configuration in Nested Objects
· Structural Rule for Cloud Configuration in Single Object
· Structural Rule for Terraform Configuration in Nested Blocks
· Structural Rule for Terraform Configuration in Single Block
· Terraform Bad Practices: Untrusted Module in Use
语言支持更新:
· Apex
· Go
· HCL
· JavaScript/TypeScript
· JSON
· Kotlin
· PHP
· Python
· YAML
其他配置文件类型支持:
· configuration
· docker
· xml