代碼靜態檢測 程序靜態分析（Program Static Analysis）是指在不運行代碼的方式下，通過詞法分析、語法分析、控制流、數據流分析等技術對程序代碼進行掃描，驗證代碼是否滿足規范性、安全性、可靠性、可維護性等指標的一種代碼分析技術。目前靜態分析技術向模擬執行的技術發展以能夠發現更多 ...

1、為什么要用sonarQube? 在我們的日常軟件開發工作當中，隨着項目時間變長，開發人員編寫的代碼量也會越來越多。 長此以往，會面臨代碼量龐大，卻無法橫量整體代碼質量？若是要優化，也不知道如何優化。 針對這些問題 ...

0.前言 PMD作為開源的靜態代碼掃描工具有很強的擴展能力,可使用java或xpath定制rule.第一篇從操作上講解如何定制一個用於掃描xml是否規范的規則.首先我們知道xml格式的文件在java工程里往往用於配置文件,像web的ssm框架里 ...

靜態代碼掃描存在的價值 研發過程，發現BUG越晚，修復的成本越大 缺陷引入的大部分是在編碼階段，但發現的更多是在單元測試、集成測試、功能測試階段 統計證明，在整個軟件開發生命周期中，30% 至 70% 的代碼邏輯設計和編碼缺陷是可以通過靜態代碼分析來發現和修復 ...

靜態代碼掃描存在的價值 研發過程，發現BUG越晚，修復的成本越大 缺陷引入的大部分是在編碼階段，但發現的更多是在單元測試、集成測試、功能測試階段 統計證明，在整個軟件開發生命周期中，30% 至 70% 的代碼邏輯設計和編碼缺陷是可以通過靜態代碼分析來發現和修復的 以上三點 ...

在開發過程中，優秀的源代碼掃描工具可以幫助我們快速掃描漏洞，高效完成源代碼缺陷修復。少漏報和誤報率低的工具是我們的首選，我最近試用了許多源代碼掃描工具和方案，其中DMSCA（端瑪科技企業級源代碼安全和質量缺陷掃描分析服務平台），我發現掃描效果很不錯，是一款最能解決軟件安全問題的工具，下面為做開發 ...

1、准備好Java項目代碼 只要是java語言實現的項目均可。 比如，自動化測試的代碼，測試平台等均可以。 本次案例，使用java語言實現的測試平台來做為掃描對象。 2、了解java項目代碼的結構。 為什么要了解項目代碼結構 ...

一、SonarQube整體介紹 SonarQube為靜態代碼檢查工具，采用B/S架構，幫助檢查代碼缺陷，改善代碼質量，提高開發速度，通過插件形式，可以支持Java、C、C++、JavaScripe等等二十幾種編程語言的代碼質量管理與檢測。 通過客戶端插件分析源代碼，sonar客戶端可以采用 ...