美文网首页
SonarQube之常见扫描结果分析(二)

SonarQube之常见扫描结果分析(二)

作者: 蜗小稂 | 来源:发表于2019-03-11 18:23 被阅读0次

    前言:

    在测试的世界中,bug在越早发现的成本越低,而代码扫描和单元测试,是在早期帮我们发现程序中存在问题的有效手段,代码扫描其实不仅能帮我们发现程序的漏洞,也能督促开发更规范优雅的去写代码,而SonarQube是一个很好的管理代码质量的开放平台,但SonarQube到底能帮我们干什么呢????
    下面就根据示例的接口web项目扫描结果一起来分析把~

    SonarQube常见扫描结果分析

    一,扫描结果总览
    在安装和配置好SonarQube后(如何安装和配置网络上很多,此处就不详细介绍了),扫描的结果如下图:
    Bugs,漏洞,异味,覆盖率(根据不同的语言可集成不同工具,例如:java和jacoco),重复;


    image.png

    二,优先级1位之Bugs
    项目中扫描出来的Bugs大部分是以下两个:
    (1)A "NullPointerException" could be thrown;
    经常出现的空指针异常(楼主写得太狂放不羁了,项目中一大半是这个错,捂脸中...),顾名思义,就是不管是常见的Java类型,还是对象,它可能是个null,然而我们并没有对其做处理,所以一般解决办法如下:
    1.增加条件判断

    List<String> books = Dao.getData();
    
    if(books!=null){
    
      int size = books.size();
    
    }
    

    2.捕获异常

    List<String> books = Dao.getData();
    
    try{
    
    int size = books.size();
    
    }catch(NullPointerException e){
    
      e.printStackTrace();
    
      System.out.printLn("size = 0");
    
    }
    

    3,尽量不要给一个对象null,不然去.该对象里面某个方法还是会报空指针异常
    (2)Use try-with-resources or close this "FileOutputStream" in a "finally" clause.;
    在使用输入输出流的时候,流的关闭未放在finally里面,当程序出现异常时,就会导致流的关闭不成功,如下图:


    image.png

    解决方案:
    将流的关闭代码写在finally里面就可以了;
    三,优先级2位之漏洞
    楼主项目中最常见和傻的漏洞
    Use a logger to log this exception.


    image.png
    漏洞原因: e.printStackTrace();是在调试的时候打印错误日志,但是可能会无意中暴露敏感信息;
    建议使用:LOGGER.log(“context”,e);用户可以轻松方便在日志文件中检索错误日志
    四,优先级3位之重复率
    image.png

    好的代码应该不是大量重复代码的堆砌,所以代码重复率很高的地方,可能就需要我们的优化了,相同的代码可以考虑静态出来一个工具方法,类中属性的重复可以抽象出父类,总而言之,优化他们,让我们的代码写的更优雅!

    对一个项目扫描出来的问题远不止这些,这里分享的只是一些常见和简单容易犯的错误,更多规则和质量阀的指定还需要根据自己公司实际情况进行制定,一起努力吧。

    以上~对你有帮助的话,点个喜欢❤️吧~~

    欢迎关注我的同名简书,博客,Github~~~

    相关文章

      网友评论

          本文标题:SonarQube之常见扫描结果分析(二)

          本文链接:https://www.haomeiwen.com/subject/kqpbpqtx.html