Qualité de code Java et analyse statique avec Sonarqube

Sonarqube est une plate-forme de gestion de la qualité de code open source utilisée pour détecter les défauts de code, les vulnérabilités de sécurité, les odeurs de code, le code en double dans plus de 20 langues telles que Java et évaluer la couverture et la complexité des tests. 1. Installez le serveur Sonarqube et accédez à http: // localhost: 9000 pour terminer l'initialisation; 2. Configurez l'outil Sonarscanner ou utilisez le plug-in Maven / Gradle; 3. Créez le fichier sonar-project.properties dans le répertoire racine du projet, spécifiez les informations du projet, le chemin du code source, la sortie de compilation et le chemin du rapport de test; 4. Utilisez Jacoco pour générer un rapport de couverture de test, et configurez Prépare-Agent et rapportez l'exécution via le plug-in Maven; 5. Exécutez la commande MVN Clean Verify Sonar: Sonar ou sonar-scanner, et soumettez les résultats de l'analyse en combinaison avec l'authentification de jeton -dsonar.login. Les règles clés comprennent l'évitement des blocs de capture vides, le contrôle de la complexité du cercle, l'élimination du code en double, la garantie de plus de 80% de couverture de test et la gestion des points chauds de sécurité. Le contrôle de la qualité d'accès peut être appliqué dans des processus CI tels que les actions Jenkins ou GitHub via des seuils de qualité personnalisés (tels que la nouvelle couverture du code ≥ 80%, aucun problème sérieux, un code en double

La qualité du code Java et l'analyse statique sont des liens clés pour assurer la maintenabilité et la stabilité à long terme des projets, et Sonarqube est actuellement l'une des plateformes de gestion de la qualité du code les plus populaires. Il peut aider les équipes de développement à détecter automatiquement les défauts potentiels, les odeurs de code, les vulnérabilités de sécurité et le code en double dans le code, améliorant ainsi en continu la qualité du code.

Qu'est-ce que Sonarqube?

Sonarqube est une plate-forme open source pour une inspection continue de la qualité du code. Il prend en charge plus de 20 langages de programmation, y compris Java, et donne un aperçu des dimensions suivantes en analysant statiquement le code source:

• Détection de bogues : a trouvé un problème de code qui peut entraîner des erreurs d'exécution.
• Identification de la vulnérabilité : détecter les problèmes de sécurité, tels que l'injection SQL, les mots de passe à code dur, etc.
• L'odeur du code : souligne le code avec une mauvaise structure et difficile à maintenir.
• Répéter le code : Identifiez les blocs de code en double pour réduire les coûts de maintenance.
• Couverture de test : Intégrez les rapports de test unitaires pour évaluer la couverture du code.
• Analyse de la complexité : mesurez la complexité du cercle des classes et des méthodes pour éviter une complexité excessive.

Comment intégrer sonarqube dans le projet Java?

Pour appliquer Sonarqube à un projet Java, les étapes suivantes sont généralement requises:

1. Installez et démarrez le serveur Sonarqube

   • Téléchargez gratuitement SonarQube (Community Edition) et démarrez le service (Port par défaut 9000).
   • Visitez http://localhost:9000 pour terminer la configuration initiale.

2. Configurer sonarscanner

   
   • Sonarscanner est un outil de ligne de commande pour effectuer une analyse et doit être téléchargé et configuré dans le chemin du système.
   • Ou utilisez le plug-in Maven / Gradle pour intégrer plus facilement.

3. Ajouter des fichiers de configuration au projet

   • Créer un fichier sonar-project.properties dans le répertoire racine du projet, exemple de contenu:

      sonar.projectKey = my-java-project
     Sonar.projectName = mon projet Java
     sonar.projectVersion = 1,0
     
     sonar.sources = src / main / java
     sonar.tests = src / test / java
     sonar.java.binaries = cible / classes
     sonar.java.test.binaries = cible / classes de test
     
     Sonar.Junit.ReportPaths = Target / SureFire-Reports
     Sonar.jacoco.ReportPaths = Target / Jacoco.exec

4. Générer le rapport de couverture de code (Jacoco recommandé)

   • Si vous utilisez Maven, ajoutez le plugin Jacoco:

      <fruit>
         <GroupId> org.jacoco </rombandid>
         <ArtefactId> Jacoco-Maven-Plugin </Retifactid>
         <version> 0.8.11 </ version>
         <Cecultes>
             <exécution>
                 <buts>
                     <butard> prépare-agent </ but>
                 </ buts>
             </ Execution>
             <exécution>
                 <id> Rapport </id>
                 <gase> Test </stophe>
                 <buts>
                     <FORME> RAPPORT </FORST>
                 </ buts>
             </ Execution>
         </IMICATION>
     </ plugin>

5. Analyse en cours

   • Exécuter la commande:

      MVN Clean Verify Sonar: Sonar \
       -Dsonar.login = your-token \
       -Dsonar.host.url = http: // localhost: 9000

   • Ou utilisez sonarscanner:

      sonar-scanner -dsonar.login = votre-token

Remarque: il est recommandé d'utiliser le jeton utilisateur généré par SonarQube pour l'authentification, plutôt que le nom d'utilisateur et le mot de passe en texte clair.

Règles de qualité clés et meilleures pratiques

Sonarqube a des centaines de règles établies, et en voici certaines qui sont particulièrement dignes d'attention dans les projets Java:

• Évitez les blocs de capture vides
  catch(Exception e) {} masquera l'exception et devrait au moins les journaux de journaux.

• Réduire la complexité du cercle (complexité cyclomatique)
  La méthode est trop complexe (par défaut> 10 alarmes) signifie qu'il est difficile à tester et à maintenir, et la logique doit être divisée.

• Éliminer le code en double
  SonarQube marquera des blocs de code similaires, ce qui incite à extraire des méthodes ou des classes publiques.

• Assurer la couverture des tests unitaires
  Il est recommandé de définir un seuil de couverture minimum (tel que la couverture des lignes ≥ 80%) et d'être des chèques obligatoires dans le processus CI.

• Hotspots de sécurité
  Tels que les références à code dur, la génération de nombres aléatoires dangereuse ( Math.random() est utilisée dans des scénarios sûrs), etc.

Vous pouvez personnaliser les seuils de qualité dans l'interface Sonarqube, par exemple:

• Le taux de couverture des nouveaux codes est ≥ 80%
• Problème de grave (bloqueur) zéro
• Nombre de lignes de code répétées

Ces règles peuvent être appliquées dans le processus d'intégration continue du projet (CI), telles que l'intégration des analyses Sonarqube dans les actions de Jenkins ou GitHub, et le blocage des fusions s'ils échouent.

Conseils: Évitez les pièges communs

• Erreur de configuration de ClassPath compilée
  Assurez-vous que sonar.java.binaries pointe vers le répertoire de sortie compilé correct (tel que target/classes ), sinon certaines règles ne prendront pas effet.

• Le chemin du rapport de test est incorrect
  Si sonar.junit.reportPaths et sonar.jacoco.reportPaths ne sont pas configurés correctement, la couverture sera affichée comme 0.

• Analyse incrémentale vs analyse complète
  Sonarqube effectue une analyse complète par défaut. Si vous analysez uniquement le code de modification, vous pouvez utiliser sonar-scm-provider-git pour coopérer.

• Les annotations chinoises entraînent des problèmes de codage
  Assurez-vous que le fichier de code source est un codage UTF-8 pour éviter les échecs d'analyse en raison de problèmes de jeu de caractères.

Fondamentalement, c'est tout. Ce qui rend sonarqube puissant, c'est qu'il transforme la qualité du code en un processus mesurable et traçable. Pour les projets Java, l'intégration de Sonarqube n'est pas compliquée, mais les avantages à long terme sont très importants - moins de bogues en ligne, une meilleure maintenabilité et un travail d'équipe plus efficace.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!