Рубрика «sonarqube»

в 7:13, , рубрики: continuous delivery, devops, gitlab, gitlab ci, sonarqube, werf, Блог компании Флант, Тестирование веб-сервисов

Запускаем тесты на GitLab Runner с werf — на примере SonarQube - 1

Если в качестве инфраструктуры, где разворачивается приложение, выступает Kubernetes, можно сказать, что существует два способа запуска тестов (и других утилит для анализа кода) в CI/CD:

  • непосредственно в кластере K8s — с помощью отдельных Job или Helm hooks;
  • «снаружи» K8s — например, на сервере сборки/деплоя или локально у разработчиков.

Первый подход мы достаточно подробно описывали на интересном примере с базами данных в статье «Как мы выносили СУБД (и не только) из review-окружений в статическое». В этой статье рассмотрен более простой путь — запуск вне K8s-кластера. Делать мы это будем на примере SonarQube-тестов в рамках CI/CD, построенного на базе GitLab с использованием werf.Читать полностью »

в 11:17, , рубрики: devops, how-to, maven, sonarqube

SonarQube — это открытая платформа для обеспечения непрерывного контроля качества исходного кода, поддерживающая большое количество языков программирования и позволяющая получать отчеты по таким метрикам, как дублирование кода, соответствие стандартам кодирования, покрытие тестами, сложность кода, потенциальные ошибки и т.д. SonarQube удобно визуализирует результаты анализа и позволяет отслеживать динамику развития проекта во времени.

Задача: Показывать разработчикам статус контроля качества исходного кода в SonarQube.

Есть два способа решения:

  • Запускать скрипт проверки статуса контроля качества исходного кода в SonarQube. Если контроль качества исходного кода в SonarQube не проходит, то фейлить сборку.
  • Показывать на главной странице проекта статус контроля качества исходного кода.Читать полностью »

в 8:58, , рубрики: bugs, findbugs, java, SAST, security, sonarqube, Блог компании Одноклассники, информационная безопасность, одноклассники, ок.tech, статический анализ кода, Тестирование IT-систем, Тестирование веб-сервисов

Статическое тестирование безопасности опенсорсными инструментами - 1

Уязвимости в своём коде хочется находить как можно быстрее, а значит нужно автоматизировать этот процесс. Как именно автоматизировать поиск уязвимостей? Существует динамическое тестирование безопасности, существует статическое — и у обоих свои преимущества и недостатки. Сегодня подробно разберёмся со статическим на опыте его применения в Одноклассниках.

По каким принципам можно выбирать инструмент для статического тестирования? С какими сложностями сталкиваешься, когда уже выбрал? Как писать собственные правила анализа, расширяющие стандартную функциональность? Я занималась всеми этими вопросами — и теперь делюсь с Хабром тем, что узнала.

Речь пойдёт о Java, веб-приложениях, SonarQube и Find Security Bugs, но рассказанное применимо также для других языков и технологий.

Читать полностью »

в 8:36, , рубрики: android, lint, sonarqube, whoreadsthetags, Блог компании EPAM, Разработка под android, Тестирование мобильных приложений

Quality pipelines в мобильной разработке, часть 1: Android - 1
фото с Unsplash по запросу "pipeline"

Общий подход

Привет! Я начинаю серию постов о пайплайнах в разработке и не только, которые помогают удостовериться в качестве разрабатываемых мобильных приложений. Главная идея в том, чтобы осветить все подходы к мобильной разработке, актуальные сейчас: нативную разработку для Android и iOS, React Native, Xamarin и Flutter. Я начну с Android, но сначала хотел бы дать общее представление, о чём это всё.

Имейте в виду, что это общий обзор инструментов и практик, способных пригодиться вам в процессе разработки Android-приложений, а не туториал по настройке этих инструментов.

Читать полностью »

в 9:14, , рубрики: sonar, sonarqube, Проектирование и рефакторинг, системное администрирование, управление разработкой

Привет, читатели!

В данном руководстве хочу изложить пошаговую настройку по развёртыванию платформы для непрерывного анализа и измерения качества кода. Подобных статей в сети достаточно много, но я хочу выделить лишь главное, чтобы все новички с первого раза смогли с ней разобраться.

Вы уже изучили вики, не так ли?

И прежде чем начнём

Хочу, чтобы вы определились, какую версию вам внедрять, ведь с каждым обновлением всё больше и больше плагинов становятся платными, что, естественно, скажется на финансовых затратах или функционале.

В общем — перейдите по этой ссылке и убедитесь сами: plugin version matrix

Согласно документации, сервер и базу данных рекомендуется держать на разных машинках.

Но в песочнице можно потренировать и на одной.

Итак. Я работаю с виртуальными машинками. Подготовил 2 штуки, точнее поднял одну и сделал из неё дубликат.

Под рукой у меня оказался Ubuntu server 18.04.3 LTS.

Изменить имя и ip вы сможете легко и просто с помощью этих команд:

::: change hostname :::

$ hostnamectl set-hostname sonarapp
sudo nano /etc/hostname
sudo nano /etc/hosts

::: change ip ubuntu :::

sudo nano /etc/netplan/01-eth0.yaml

Там найдите знакомые строчки и поменяйте параметры имени машинки и IP адреса.

Читать полностью »

в 11:34, , рубрики: checkstyle, fingbugs, IDE, idea, java, pmd, sonarlint, sonarqube, SpotBugs, static code analysis, static code analyzer, Блог компании НПО «Криста»
SonarQube и IntelliJ IDEA: правильная интеграция - 1

SonarQube — отличный инструмент для внедрения статического анализа кода в процесс разработки ПО. Он поддерживает как используемую у нас в компании Java, так и большое количество других языков программирования.

На данный момент этот инструмент плотно вошёл в нашу жизнь, следя за единым стилем кода и уберегая от самых разных видов ошибок. Поиск ошибок происходит при сборке на CI или перед принятием pull request в версионное хранилище. Все найденные ошибки отображаются в Web-интерфейсе, где можно изучать их и управлять ими.

Однако беда в том, что удобный Web-интерфейс не означает удобство по устранению найденных замечаний в коде проекта. Для того, чтобы внести исправление, приходится сначала смотреть, в каком именно файле это замечание обнаружено, потом открывать этот файл и только затем вносить исправление. Так-же это приводит к тому, что разработчик узнает о проблеме с очень большим отставанием (иногда анализ в SonarQube может занимать десятки минут), что не способствует поддержанию чистоты кода.

Для того, чтобы облегчить жизнь разработчикам нашей компании, использующим IntelliJ IDEA, я составил инструкцию. А в дальнейшем понял, что она может быть полезной более широкому кругу специалистов, и решил выложить её в публичный доступ.

Читать полностью »

в 8:23, , рубрики: C, c++, cmake, code review, devops, eclipse, linux, linux development, linux devops, make, makefile, pvs-studio, PVS-Studio for Linux, qmake, SAST, sonarqube, static code analysis, static code analyzer, waf, Блог компании PVS-Studio, качество кода, обзор кода, Разработка под Linux, Си, статический анализ кода

Знакомство со статическим анализатором PVS-Studio при разработке C++ программ в среде Linux - 1PVS-Studio поддерживает анализ проектов на языках C, C++, C# и Java. Использовать анализатор можно под системами Windows, Linux и macOS. В этой заметке речь пойдет об анализе кода, написанного на C и C++ в среде Linux.

Установка

Установить PVS-Studio под Linux можно разными способами, в зависимости от типа дистрибутива. Наиболее удобный и предпочтительный способ – использование репозитория: так это позволяет автоматически обновлять анализатор при выходе новых версий. Второй вариант – использовать установочный пакет, который можно скачать здесь.
Читать полностью »

в 18:19, , рубрики: bugs, devops, findbugs, gradle, intellij idea, java, maven, open source, pvs-studio, SAST, SonarJava, sonarqube, SpotBugs, static code analysis, Блог компании PVS-Studio
PVS-Studio for Java

In the seventh version of the PVS-Studio static analyzer, we added support of the Java language. It's time for a brief story of how we've started making support of the Java language, how far we've come, and what is in our further plans. Of course, this article will list first analyzer trials on open source projects.
Читать полностью »

в 8:23, , рубрики: devops, findbugs, gradle, intellij idea, java, maven, open source, pvs-studio, SonarJava, sonarqube, SpotBugs, Блог компании PVS-Studio, информационная безопасность, открытый исходный код, ошибки в коде, статические анализаторы кода, статический анализ кода
PVS-Studio для Java

В седьмой версии статического анализатора PVS-Studio мы добавили поддержку языка Java. Пришло время немного рассказать, как мы начинали делать поддержку языка Java, что у нас получилось и какие дальнейшие планы. И, конечно, в статье будут приведены первые испытания анализатора на открытых проектах.
Читать полностью »

в 13:58, , рубрики: agile, devops, pipeline, QG, Quality Gates, QualityGates, sonarqube, Блог компании Сбербанк, качество, разработка, Сheckmarx, тестирование, управление проектами, управление разработкой

Сегодня мы наблюдаем, как во всем мире постепенно отмирает waterfall-модель разработки. Ее не любят за тяжеловесность и плохую реакцию на изменения. Это напрямую влияет на актуальность продукта и увеличивает ТТМ (time-to-market), выливаясь в дополнительные затраты. Разработчики перестраиваются на рельсы agile, и мы здесь не исключение.

Методология agile изначально создавалась для маленьких команд, которые делают продукт под ключ в режиме end-to-end и сами отвечают за его качество. Но как быть, если разрабатываешь высококритичные банковские системы, над которыми трудятся десятки agile-команд? Как достичь той уверенности в продукте, которую дает долгое, исчерпывающее тестирование как в waterfall? В этом посте мы поделимся своим решением этого вопроса.

Кто ответит в agile за качество разработки сложных проектов, или методология Quality Gates - 1
Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js