持续代码质量平台Sonar-5审计

in SCM

背景:

Dev已经习惯使用Sonarqube进行静态代码扫描,现准备进行阶段审计看下使用效果怎么样。

PS:
1. Sonarqube根据Key来唯一标示项目。
2. Resolution 里面的False Positive(误报)和 Won’t fix(暂不处理)会自动继承:
- 如果一个问题本次标记为False Positive 或者 Won’t fix
- 以后此项目进行分析时此问题自动标记。
- 其他项目(Key不同)还是会报此问题。
logo
logo

思路:

Dev正常进行开发过程的静态代码扫描,SCM对项目主干(master)代码进行轮询静态代码扫描。
1. 主干代码静态代码扫描时Project Key增加统一标志来区分Dev开发过程扫描:
- 例如:修改maven pom文件 artifactId增加 master/admin/scm 后缀
2. 更新Dev开发过程项目标记规则到主干。

同步不同项目标记规则:

  1. 安装Issue resolver插件:
    • Export and import resolved issues (false-positive and won’t fix) from SonarQube projects.

  2. 更新dev项目标记规则到主干项目:
    - web端操作方法:
    logo
    logo

Comment and share

  • page 1 of 1
Author's picture

Weilong

    Write something about work-life:
    • Project management
    • Process improvement

PM


Shenzhen