蘇州華克斯公司-sonarqube安全審計

連續檢查由奧利維爾 Gaudin，SonarSource SA 執行官兼共同創始人軟件的范式轉換質量管理介紹軟件質量是每個商業企業日益關注的問題， 因為不斷升級的角色軟件在運行關鍵業務系統中發揮作用。軟件質量包括外部和內部質量。外部或功能性， 質量描述軟件與其定義的功能需求–它是否按預期執行？內部質量描述關鍵的內部代碼的特性， 如健壯性、標準一致性和可維護性。行業統計顯示， 平均而言， 軟件產品的生命周期成本的80% 用于維護，根據內部質量，sonarqube， 維護成本有很高的變異性。這意味著水平軟件產品的可維護性今天將決定其成本責任的水平明天。傳統的代碼質量控制方法涉及 so-called 的準時審核或質量門， 這是對源代碼的定期審核。這些審計通常由外部審計員在開發過程的 '后一英里'-在功能測試期間或之后。根據他們的本性準時的審核會導致開發周期的中斷， 因為它們會導致更改'已完成' 軟件。在hao的情況下， 這種質量控制方法會導致延遲和返工。在壞的情況是， 它導致了劣質軟件的發布。在這兩種情況下， 傳統方法使人們認識到， 構建高質量的軟件過于復雜和昂貴。迫切需要一個新的模式， 強調質量貫穿整個開發周期， 并有更短的反饋回路， 以確保快速解決內部質量問題;簡而言之，從一開始就建立質量的模型，代理商sonarqube中國總代理， 而不是事后考慮。連續檢查是一個整體的、完全實現的過程， 旨在使內部代碼質量成為軟件開發生命周期的組成部分。通過提高所有利益相關者的度生命周期， 連續檢測使企業能夠接受代碼質量 whole-heartedly。在 SonarSource 的支持下， 連續檢驗范式是非常有效的， 并已被證明從小公司到財富100強企業， 在現實世界中工作，sonarqube 掃描報告，各行業。本文詳細介紹了代碼質量管理中的關鍵問題。它然后介紹了連續檢查范式， 并說明了它如何解決這些挑戰，支持數以千計的企業提高軟件質量。

SonarSource簡介

可靠性問題

這通常被稱為潛在的 bug 或代碼， 在運行時將不具有預期的行為。此類問題將所有與操作風險或運行時意外行為有關的內容分組。它通常采用可能導致業務中斷的關鍵編程錯誤的形式。其中的一些問題將存在于簡單的不符合jia做法的情況， 但大多數將通過對代碼的深入分析和代碼的符號執行來檢測， 以了解程序中任何給的變量的狀態。安全問題

這通常被稱為程序中的漏洞或缺陷， 可能導致應用程序的使用方式與設計不同。這類問題將所有與程序有缺陷的事情進行分組， 這些漏洞可以被利用來使它的行為與它的設計不同。安全漏洞 (如 SQL 注入或跨站點腳本) 可能是由于編碼和體系結構實踐不佳造成的。這些問題在 CWE 和證書所維護的列表中有很好的記錄

SonarSource 的產品和服務被世界各地的客戶所使用。所有規模的組織都在使用來自 SonarSource 的產品和服務提高生產率， 降低風險， 終開發更好的軟件。Silverpeas 已經能夠實現新的功能和提高產品性能， 這已導致贏得越來越多的客戶。Silverpeas 是協作知識和內容管理的平臺。寫在爪哇， Silverpeas 出生于 1999年， 在黑暗時代的 J2EE。這是一個時代之前的框架， 當英雄編碼沒有測試或文件。結果是一個工作產品的支持下的混亂的定制框架， 是基于良好的想法， 但執行不。隨著時間的推移， 由于在產品的早期就做出了短視的設計決策， 而且由于對其體系結構沒有明確的愿景， 因此發展和維護代碼變得越來越困難。技術債務 = 責任

這種情況使我們很難跟上創新的步伐， 保持市場的競爭力。使問題復雜化的是， 執行基本維護和實施新功能的高昂成本使得很難獲得新客戶。技術債務代表了一個太大的負債。夠了在 2009年， Silverpeas 團隊作出了一個激烈的決定: 現在是時候， 以現代化的架構和提高 Silverpeas 的代碼質量。但他們需要確切地知道如何， 什么， 以及在哪里重構之前， 他們可以繼續。'我們需要一個工具來支持我們的改變，' Silverpeas 軟件建筑師米格爾 Moquillon 說。'SonarQube (當時的聲納) 被選中來幫助我們獲得正確的， 這些問題。通過它的質量分析工具和它的統一和可定制的界面， 我們有信息，sonarqube安全審計， 以確定我們必須執行的任務， 以減少技術債務和提高代碼的質量。這是我們的 GPS 在改善 Silverpeas 的道路上。SONARQUBE 保持技術債務控制

Silverpeas 團隊在 Silverpeas 的現代化過程中選擇了 SonarQube 這一關鍵角色， 部分原因是它是開源的， 就像 Silverpeas 一樣， 易于擴展， 但 SonarQube 也提供了一些功能 Moquillon 說， 團隊發現引人注目的:統一和集中的儀表板'一個統一和集中的儀表板， 其中呈現代碼的主要質量指標: 一目了然是什么出錯了， 什么是改進了， 很容易看到。簡單的導航--'一種簡單的方法來導航到相關代碼的不同指標: 很容易找到需要操作的代碼部分.'強大的報告-'在時間的指標演變的跡象: 我們可以估計我們的代碼改進的努力。更好的軟件質量已導致越來越多的客戶贏得

SonarSource 的解決方案有助于 Silverpeas 的成功， 通過對關鍵問題提供持續和快速的反饋以及如何解決它們的建議。工作從堅實基地它的代碼質量改進給它， Silverpeas 團隊已經能夠實現新的功能， 并提高產品的魯棒性和性能， 這已導致贏得越來越多的客戶。今天， Silverpeas 團隊致力于將其軟件質量保持在 SonarQube 的軌道上。Moqillon 說， Silverpeas 團隊對 SonarQube 有信心， 因為 '這是一個開源項目， 如 Silverpeas， 因此， 我們是確保其演變和質量。他贊揚 SonarQube 的定期發布時間表、易用性、易于安裝以及與現有開發基礎結構 (如連續集成服務器詹金斯) 和構建系統 Maven 等集成的易用性。現在， SonarQube 分析運行每晚 Silverpeas 的35.1萬行代碼， 由詹金斯觸發的后期生成行動。開發人員和經理定期檢查結果， 并采取行動解決問題的集體努力， 以維護和進一步提高 Silverpeas 的軟件質量。