通过持续分析代码以找出潜在的质量问题,开源SonarQube项目支持DevOps“早发布和经常发布”的心态。越来越多的组织正在实施DevOps,以便在通过中间开发和测试环境后更快更好地将新代码投入生产。虽然版本控制、持续集成和部署以及自动化测试都属于DevOps的范围,但一个关键问题仍然存在:组织如何量化代码质量,而不仅仅是部署速度?SonarQube是填补这一空白的一个选项。它是一个开源平台,通过代码的自动静态分析不断检查代码质量。SonarQube支持20多种语言的分析,输出和存储各类项目中的问题。SonarQube还提供了一个集中的环境,可以同时维护和管理不同的项目和不同的代码。可以为每个项目定制规则。持续检查和分析代码的健康轨迹。SonarQube还可以集成到持续集成和开发(CI/CD)流程中,协助和自动化确定代码是否已准备好用于生产的流程。它可以测量什么开箱即用,SonarQube可以测量关键指标,包括代码错误、代码异味、安全漏洞和重复代码。代码错误是代码的一部分不正确或不能正常工作,这可能导致错误的结果。它指的是在代码发布到生产环境之前应该修复的那些明显的错误。代码味道与代码错误不同,检测到的代码很可能会按预期正确执行。但是,它不容易修复,也不能被单元测试覆盖,但它可能会导致一些未知的错误,或者其他一些问题。就长期可维护性而言,立即修复代码异味是明智的。通常在写代码的时候,代码味是不容易发现的,而SonarQube的静态分析是一种很好的发现方法。安全漏洞顾名思义:现有代码中可能作为安全问题存在的缺陷。应立即修复这些缺陷,以防止黑客利用它们。重复代码也顾名思义:它指的是源代码的重复部分。代码重复是软件设计中非常糟糕的做法。一般来说,如果对代码的一部分进行了更改而另一部分没有更改,则会导致一些维护问题。例如,识别重复代码可以很容易地将重复代码打包成一个库以供重复使用。可定制的选项因为它是开源的,SonarQube鼓励用户开发并提供可定制的选项。目前有60多个插件可用于增强SonarQube开箱即用的分析功能。大多数插件都是为了增加SonarQube可以分析的编程语言的数量。其他插件可以分析一些额外的指标,甚至包括一些显示的仪表板视图。事实上,如果一个组织需要检查一些自定义指标,或者想在自己的仪表盘中以特定方式查看分析数据,或者使用SonarQube不支持的编程语言,可能有一些自定义选项可以使用.如果你想要的功能不支持,SonarQube的开源代码也为你提供了自己开发新功能的可能。用户还可以自定义适用于每个特定编程语言分析器的规则。通过SonarQubeUI,可以按语言和项目选择和取消选择规则。这些特定于项目的规则非常适合在集中位置维护所有数据和配置。为什么它很重要SonarQube为组织提供了一个集中位置来管理和跟踪跨多个项目的代码中的问题。它还可以将连续检查与质量门结合起来。一旦一个项目被分析过一次,进一步的分析会参考最新的软件变化更新原始统计数据以反映最新的变化。这些痕迹允许用户查看问题解决的程度和速度。这与“尽早且经常发布”密切相关。此外,SonarQube可以使用持续集成流程,例如Hudson和Jenkins等工具。这个质量阈值是代码整体健康状况的良好指标,在通过Jenkins等集成工具将代码发布到生产环境中起着重要作用。本着DevOps的精神,SonarQube可以量化代码质量以满足组织的内部要求。为了加快代码生产和发布周期,组织必须意识到自己的技术债务和软件问题。通过发现这些信息,SonarQube可以帮助组织更快地生产高质量的软件。想了解更多?SonarQube在GUN通用公共许可证下发布,其源代码可以在GitHub上查看。越来越多的用户对SonarQube的特性和功能感兴趣。Twitter和Google上的活跃社区。这些社区以及SonarQube博客对任何有兴趣开始和使用SonarQube的人都非常有帮助。
