代理商sonarqube静态安全扫描工具-苏州华克斯信息

Sonarqube使用简介

5.SonarQube web UI –安全报告页面

针对安全问题，sonarqube提供了OWASP th10和SANS top25，热点问题检查，并提供了聚合报告，提高对安全问题的重视程度

6.SonarQube web UI –评估页面

给出当前项目的评估概况信息，大小，可靠性，重复率，覆盖率等

7.SonarQube web UI –代码页面

以.java文件为依据，给出各个.java文件统计信息

8.SonarQube web UI –活动页面

页面展示了每次代码扫描的基本信息和代码情况的折线图，折线图可以根据需要调整显示bugs数量，代码行数，覆盖率等信息

sonarQube的基本使用（一）

sonarQube的基本使用，包括配置规则集(质量配置)、配置质量阈、创建/配置项目、创建用户、创建用户组、以及权限配置，通知配置，问题处理，不包括sonarQube服务的搭建。

管理员主界面

管理员登陆后可看到sonarQube服务下所有项目的代码检查情况，并且工具栏会显示“配置按钮”，普通用户登录后工具栏没有配置按钮。

1.新建用户组

配置>>权限>>群组

创建成功后可在列表中看到创建的群组记录

点击成员按钮，可以为该群组添加成员

2.新建用户

输入用户信息

点击创建后，用户列表中显示刚才创建的用户

进入用户详情，会看到如下界面，选择“安全”tab页，输入令牌名称，点击生成，云南sonarqube静态安全扫描工具，该令牌用以在执行代码检查命令时替代用户名/密码输入，提高安全性。

点击配置>>权限>>用户>>创建用户

选择“项目”tab页，为该用户选择项目，当该项目为“私有”项目时，则只能被分配的用户看到。

选择“我的账户”>>提醒，设置需要用户通知的场景

解决Sonarqube项目中的bug总结

①：变量声明后不使用，多余变量

②：方法名、变量名不符合命名规范

例如：方法名、参数名统一使用驼峰命名法（Camel命名法），除首字母外，其他单词的首字母大写，其他字母小写，代理商sonarqube静态安全扫描工具，类名每个组合的单词都要大写；

③：常量命名不规范

禁止缩写。命名尽量简短，不要超过16个字符

采用完整的英文大写单词，在词与词之间用下划线连接，如：DEFAULT_VALUE。

同一组的常量可以用常量类封装在一起，便于引用和维护

④：删除无用的依赖

import中灰色的部分

⑤：禁止使用 System.out.println(""); 打印内容

⑥：Controller类中不要抛出异常，需要用try，catch捕获

⑦：删除无用的注释，例如用于测试的代码

⑧：将程序中的 //TODO 尽快完成