Positive Hack Days, profile picture
Uploaded byPositive Hack Days
PPTX, PDF1,035 views

Использование анализатора кода SonarQube

Доклад о SonarQube охватывает его функции как платформы для анализа и управления качеством кода, поддерживаемые языки и принципы работы. Основные метрики включают оценку надежности, безопасности, поддерживаемости и сложности проектов, а также анализ дублирования кода и покрытия тестами. Документ также рассматривает преимущества и недостатки использования SonarQube, включая улучшение качества кода и выявление уязвимостей.

Embed presentation

Downloaded 12 times
Использование SonarQube в Positive Technologies Соловьев Алексей Программист отдела DevOps asolovyev@ptsecurity.com linkedin.com/in/aasolovyev Черепанов Сергей Программист отдела DevOps scherepanov@ptsecurity.com
План доклада • Что такое SonarQube • Для чего нужны анализаторы кода • Принцип работы • Поддерживаемые языки • Что находит • Метрики • Минусы • Профит
Что такое SonarQube • Платформа для анализа кода, управления его качеством • Позволяет непрерывно проводить анализ кода • Работает с множеством языков, используя плагины
Для чего нужны анализаторы кода • Анализ текущего состояния кодовой базы • Уменьшение количества багов/уязвимостей в будущем • Повышение качества кода
Принцип работы
Поддерживаемые языки C/C++ ($) ABAP ($) Web JavaScript VB.NET XML C# VB6 TypeScript Java Python Go (SonarQube 6.0 +) COBOL ($) RPG Multilanguage PL/SQL Flex PL/I($) Objective-C PHP Swift
Korea 2015 Technological Advantages and Visionary Approach Что находит •Дефекты кода •Уязвимости • код
Korea 2015 Technological Advantages and Visionary Approach Что находит
Метрики, снимаемые с кода Reliability Оценка надёжности проекта, основанная на встречающихся багах Security Оценка безопасности проекта, основанная на встречающихся уязвимостях Maintainability Оценка поддерживаемости проекта. Для этого применяется оценка технического долга проекта и информация о «плохом» коде в проекте Duplications Предоставляет информацию о повторениях кода, рассматривает повторения строк, блоков кода, а также файлов, в которых встречаются повторения Complexity Оценка сложности проекта, основанная на числе путей исполнения кода. Когда путь исполнения в функции разделяется, сложность увеличивается на единицу Documentation Оценка количества комментариев в коде Issues Предоставляет информацию о количестве проблем, их типе и статусе Quality Gates Итоговая оценка качества проекта. Критерии для прохождения проектом контроля качества можно настроить отдельно для каждого проекта Tests Оценка покрытия кода тестами
Метрики
Метрики
Пример страницы проекта
Минусы • Некорректная работа с LDAP-группами • Высокая стоимость плагинов • Отсутствие иерархичности проектов по веткам кода
Профит от использования SonarQube за полгода • Повысилось качество нового кода • Найдены старые баги и уязвимости • Сократилось время, затрачиваемое на ревью кода • Повысилась культура написания кода
Спасибо! Вопросы? Соловьев Алексей Программист отдела DevOps asolovyev@ptsecurity.com www.linkedin.com/in/aasolovyev Черепанов Сергей Программист отдела DevOps scherepanov@ptsecurity.com

More Related Content

PDF
WP как экспериментальная платформа
bySQALab
 
PDF
Winium — это как Selenium, только под Windows
bySQALab
 
PDF
Подводная часть айсберга: что делать, чтобы автотесты не превратились в Титаник
bySQALab
 
PPTX
От экспериментального программирования к промышленному: путь длиной в 10 лет
byPositive Hack Days
 
PPT
Сетевые снифферы в тестировании
bySQALab
 
PDF
Как 3 тестировщика играючи тестируют приложение для 10млн пользователей
bySQALab
 
PDF
Дефицит ресурсов тестирования... или нет?
bySQALab
 
PDF
Уязвимое Android-приложение: N проверенных способов наступить на грабли
byPositive Development User Group
 
WP как экспериментальная платформа
bySQALab
 
Winium — это как Selenium, только под Windows
bySQALab
 
Подводная часть айсберга: что делать, чтобы автотесты не превратились в Титаник
bySQALab
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
byPositive Hack Days
 
Сетевые снифферы в тестировании
bySQALab
 
Как 3 тестировщика играючи тестируют приложение для 10млн пользователей
bySQALab
 
Дефицит ресурсов тестирования... или нет?
bySQALab
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
byPositive Development User Group
 

What's hot

PPTX
Лучшие практики на практике
byDenis Tuchin
 
PDF
Scrum глазами тестировщика или как создать стратегию для любой задачи
byIT61
 
PDF
Мастер-класс «Трущобы Application Security»
byPositive Hack Days
 
PPTX
Непрерывная интеграция и автотесты. Сравнительный анализ инструментов
bySQALab
 
PDF
CodeFest 2014. Павлов И. — Как делать прототипы в автоматизации тестирования
byCodeFest
 
PDF
Robot Framework: универсальный инструмент автоматизатора
bySQALab
 
PPTX
GUI-автоматизация в Telerik Test Studio
bySQALab
 
PDF
серёжа пономарёв @ Kuchyn.com.ua junior java developer программируем по-взро...
bySergey Ponomarev
 
PPTX
Free Desktop QA Engineers: implement automation testing
byAlexandr Zinovyev
 
PPTX
QA Fest 2016. Александр Неделяев. Браузерные помощники тестировщика
byQAFest
 
PPTX
Автоматическое тестирование Web api
byIgor Lyubin
 
PPTX
Повышение качества тестов и автоматическая валидация REST API документации
byCEE-SEC(R)
 
PDF
Денис Чистяков: Workflow. Работа над проектом в Яндексе
byYandex
 
PDF
Как Cluster Membership Software может помочь QA
bySQALab
 
PPTX
Альтернативные способы изучения программирования с нуля
byCOMAQA.BY
 
PDF
Эвристические методы защиты приложений
byPositive Hack Days
 
PDF
Highway to Сontinuous Integration, Денис Трифонов (2GIS)
byOntico
 
PDF
Jenkins 2. Как сделать мажорный релиз и не развалить сообщество?
byCEE-SEC(R)
 
PDF
Тестируем мобильное приложение в суровых реалиях Интернета
bySQALab
 
PPTX
Требования по безопасности в архитектуре ПО
byPositive Hack Days
 
Лучшие практики на практике
byDenis Tuchin
 
Scrum глазами тестировщика или как создать стратегию для любой задачи
byIT61
 
Мастер-класс «Трущобы Application Security»
byPositive Hack Days
 
Непрерывная интеграция и автотесты. Сравнительный анализ инструментов
bySQALab
 
CodeFest 2014. Павлов И. — Как делать прототипы в автоматизации тестирования
byCodeFest
 
Robot Framework: универсальный инструмент автоматизатора
bySQALab
 
GUI-автоматизация в Telerik Test Studio
bySQALab
 
серёжа пономарёв @ Kuchyn.com.ua junior java developer программируем по-взро...
bySergey Ponomarev
 
Free Desktop QA Engineers: implement automation testing
byAlexandr Zinovyev
 
QA Fest 2016. Александр Неделяев. Браузерные помощники тестировщика
byQAFest
 
Автоматическое тестирование Web api
byIgor Lyubin
 
Повышение качества тестов и автоматическая валидация REST API документации
byCEE-SEC(R)
 
Денис Чистяков: Workflow. Работа над проектом в Яндексе
byYandex
 
Как Cluster Membership Software может помочь QA
bySQALab
 
Альтернативные способы изучения программирования с нуля
byCOMAQA.BY
 
Эвристические методы защиты приложений
byPositive Hack Days
 
Highway to Сontinuous Integration, Денис Трифонов (2GIS)
byOntico
 
Jenkins 2. Как сделать мажорный релиз и не развалить сообщество?
byCEE-SEC(R)
 
Тестируем мобильное приложение в суровых реалиях Интернета
bySQALab
 
Требования по безопасности в архитектуре ПО
byPositive Hack Days
 

More from Positive Hack Days

PPTX
Развитие сообщества Open DevOps Community
byPositive Hack Days
 
PPTX
Типовая сборка и деплой продуктов в Positive Technologies
byPositive Hack Days
 
PPTX
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
byPositive Hack Days
 
PPTX
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
byPositive Hack Days
 
PDF
Уязвимое Android-приложение: N проверенных способов наступить на грабли
byPositive Hack Days
 
PPTX
Подход к обеспечению безопасности IoT в Enterprise
byPositive Hack Days
 
PDF
Теоретические основы Application Security
byPositive Hack Days
 
PDF
Credential stuffing и брутфорс-атаки
byPositive Hack Days
 
PDF
SOC для КИИ: израильский опыт
byPositive Hack Days
 
PPTX
Аналитика в проектах: TFS + Qlik
byPositive Hack Days
 
PPTX
Как мы собираем проекты в выделенном окружении в Windows Docker
byPositive Hack Days
 
PDF
Доклад SiteSecure
byPositive Hack Days
 
PPTX
Автоматизация построения правил для Approof
byPositive Hack Days
 
PDF
Формальная верификация кода на языке Си
byPositive Hack Days
 
PDF
Honeywell Industrial Cyber Security Lab & Services Center
byPositive Hack Days
 
PPTX
Механизмы предотвращения атак в ASP.NET Core
byPositive Hack Days
 
PDF
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
byPositive Hack Days
 
PDF
Формальные методы защиты приложений
byPositive Hack Days
 
PDF
Практический опыт защиты финансовых транзакций клиентов Банка
byPositive Hack Days
 
PDF
Эффективный контроль сотрудников
byPositive Hack Days
 
Развитие сообщества Open DevOps Community
byPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
byPositive Hack Days
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
byPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
byPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
byPositive Hack Days
 
Подход к обеспечению безопасности IoT в Enterprise
byPositive Hack Days
 
Теоретические основы Application Security
byPositive Hack Days
 
Credential stuffing и брутфорс-атаки
byPositive Hack Days
 
SOC для КИИ: израильский опыт
byPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
byPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
byPositive Hack Days
 
Доклад SiteSecure
byPositive Hack Days
 
Автоматизация построения правил для Approof
byPositive Hack Days
 
Формальная верификация кода на языке Си
byPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
byPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
byPositive Hack Days
 
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
byPositive Hack Days
 
Формальные методы защиты приложений
byPositive Hack Days
 
Практический опыт защиты финансовых транзакций клиентов Банка
byPositive Hack Days
 
Эффективный контроль сотрудников
byPositive Hack Days
 

Использование анализатора кода SonarQube

  • 1.
    Использование SonarQube вPositive Technologies Соловьев Алексей Программист отдела DevOps asolovyev@ptsecurity.com linkedin.com/in/aasolovyev Черепанов Сергей Программист отдела DevOps scherepanov@ptsecurity.com
  • 2.
    План доклада • Чтотакое SonarQube • Для чего нужны анализаторы кода • Принцип работы • Поддерживаемые языки • Что находит • Метрики • Минусы • Профит
  • 3.
    Что такое SonarQube •Платформа для анализа кода, управления его качеством • Позволяет непрерывно проводить анализ кода • Работает с множеством языков, используя плагины
  • 4.
    Для чего нужныанализаторы кода • Анализ текущего состояния кодовой базы • Уменьшение количества багов/уязвимостей в будущем • Повышение качества кода
  • 5.
  • 6.
    Поддерживаемые языки C/C++ ($)ABAP ($) Web JavaScript VB.NET XML C# VB6 TypeScript Java Python Go (SonarQube 6.0 +) COBOL ($) RPG Multilanguage PL/SQL Flex PL/I($) Objective-C PHP Swift
  • 7.
    Korea 2015 Technological Advantages and Visionary Approach Чтонаходит •Дефекты кода •Уязвимости • код
  • 8.
  • 9.
    Метрики, снимаемые скода Reliability Оценка надёжности проекта, основанная на встречающихся багах Security Оценка безопасности проекта, основанная на встречающихся уязвимостях Maintainability Оценка поддерживаемости проекта. Для этого применяется оценка технического долга проекта и информация о «плохом» коде в проекте Duplications Предоставляет информацию о повторениях кода, рассматривает повторения строк, блоков кода, а также файлов, в которых встречаются повторения Complexity Оценка сложности проекта, основанная на числе путей исполнения кода. Когда путь исполнения в функции разделяется, сложность увеличивается на единицу Documentation Оценка количества комментариев в коде Issues Предоставляет информацию о количестве проблем, их типе и статусе Quality Gates Итоговая оценка качества проекта. Критерии для прохождения проектом контроля качества можно настроить отдельно для каждого проекта Tests Оценка покрытия кода тестами
  • 10.
  • 11.
  • 12.
  • 13.
    Минусы • Некорректная работас LDAP-группами • Высокая стоимость плагинов • Отсутствие иерархичности проектов по веткам кода
  • 14.
    Профит от использованияSonarQube за полгода • Повысилось качество нового кода • Найдены старые баги и уязвимости • Сократилось время, затрачиваемое на ревью кода • Повысилась культура написания кода
  • 15.
    Спасибо! Вопросы? Соловьев Алексей Программист отделаDevOps asolovyev@ptsecurity.com www.linkedin.com/in/aasolovyev Черепанов Сергей Программист отдела DevOps scherepanov@ptsecurity.com