1、为什么要用sonarQube? 在我们的日常软件开发工作当中，随着项目时间变长，开发人员编写的代码量也会越来越多。 长此以往，会面临代码量庞大，却无法横量整体代码质量？若是要优化，也不知道如何优化。 针对这些问题 ...

一、静态代码分析 静态代码分析是一种通过检查代码而不是执行程序来发现源代码中错误的手段。通常可以帮助我们发现常见的编码错误，例如： 语法错误 违反制定的标准编码 未定义的变量 安全性问题 静态代码分析可以通过评估编写 ...

介绍一些常用的静态代码扫描工具，由于我也是才使用，可能了解的不全面。另外，以下我说明的代码是使用C语言编写的。 1 Flawfinder 简介：在源代码中查找潜在的安全缺陷的软件。 下载地址：Flawfinder Home Page (dwheeler.com) 1）运行环境 ...

一、SonarQube整体介绍 SonarQube为静态代码检查工具，采用B/S架构，帮助检查代码缺陷，改善代码质量，提高开发速度，通过插件形式，可以支持Java、C、C++、JavaScripe等等二十几种编程语言的代码质量管理与检测。 通过客户端插件分析源代码，sonar客户端可以采用 ...

1、准备好Java项目代码 只要是java语言实现的项目均可。 比如，自动化测试的代码，测试平台等均可以。 本次案例，使用java语言实现的测试平台来做为扫描对象。 2、了解java项目代码的结构。 为什么要了解项目代码结构 ...

在开发过程中，优秀的源代码扫描工具可以帮助我们快速扫描漏洞，高效完成源代码缺陷修复。少漏报和误报率低的工具是我们的首选，我最近试用了许多源代码扫描工具和方案，其中DMSCA（端玛科技企业级源代码安全和质量缺陷扫描分析服务平台），我发现扫描效果很不错，是一款最能解决软件安全问题的工具，下面为做开发 ...

静态代码扫描价值 （1）研发过程，发现BUG越晚，修复的成本越大； （2）缺陷引入的大部分是在编码阶段，但发现的更多是在单元测试、集成测试、功能测试阶段； （3）统计证明，在整个软件开发生命周期中，30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的。 目标：希望 ...

1、以管理员身份登陆sonarQube平台 默认的管理员用户帐号是：admin/admin 2、进入Administration选项 3、选择 ...