Sonar

优质
小牛编辑
135浏览
2023-12-01

Overview

Sonar -- an open platform to manage code quality. 是SCM, CI, Issue Tracker和Wiki外,另一个必不可少的项目管理软件.

什么maven site, 什么Jenkins插件,和它比都弱爆了。

Configuration

每次升级Sonar版本,总要做的几样配置,Sonar backup只能备份所有profile的rule和alert,以及Global Settings。

  • DashBoard: 在首页点击edit filter, 删除Versions,Links,BuildDates,加入Critical/Major/Minor violations,Coverage。其他如Skip UnitTest,Duplication可以根据需要添加。
    另外,对于Multi-Module的项目,可以新建一个Share的Filter, 选择显示subproject。
  • Widgets: 在任一项目页点击Configure widgets, 删除LCOM4, Complexity和Descritpion。再把Events移到右边。再添加TimeLine(加入如Coverage,Rules compliance的Metrics)
  • 调整分值: 直接加大2倍:在General Settings->General中,INFO=0;MINOR=3;MAJOR=9;CRITICAL=15;BLOCKER=30
  • 在UpdateCenter安装SCM插件, 并依照Guides设置,能方便看出是谁造成的violations。
  • 在UpdateCenter安装TagList插件, 统计代码中遗留的//TODO等标签。按照Guide设置,需要把checkstyle里的默认值"TODO:"改为"TODO",否则会有Null Point Exception。最后在DashBoard里增加Tag的值,在Configure widgets中增加taglist的wigget。

SpringSide Profile

SpringSide的Profile在Soanr 3.2 的Sonar way with Findbugs规则上进行修改。 规则已导出到support/sonar目录里,既有可用来整体导入的springside-way.xml,也有可用于其他checkstyle/pmd/findbugs工具的独立配置文件。

Checkstyle changes

  • Enable "JavaNCSS", classMaximum from 1500 to 500, fileMaximum from 2000 to 600-- 排除注释后的每个方法/类的最大代码行数。methodMaximum保持50的默认值。
  • Enable "Nested For Depth", max from 1 to 3 -- if/else/for/while等嵌套代码的层数。
  • Enalbe "Parameter Number", max from 7 to 5 -- 长长的函数参数列表从来都最让人烦,从默认的最多7个进一步降到5个。
  • Change "Magic Number" from Minor to Info --本意很好,但无奈太多各种可允许的例外情况,降到Info级别,有空的时候可以看一眼。
  • Disable "Hide Utility Class Constructor" -- 本意很好,只提供静态方法的工具类不应该能实例化。但无论是把类设为abstract还是添加private的构造函数都不够优雅,都是静态函数的也不一定是工具类。还是相信现在的程序员不会new一个变量来调用static方法算了。

可选修改:

  • Enable "Declaration Order", from Info to Minor -- 按Java编程规范,变量定义先public再protected再private变量再构造函数再普通函数是个挺好的实践,所以提升到Minor级别。
  • Enalbe "One Statement Per Line" -- 只有恐怖的C++才允许一行里面写两句话,如 x = 1; y = 2; Multiple Variable Declarations
  • Change "Redundant Throws" allow uncheked=true -- 在throws里把可能抛出来的unchecked exception也列出来绝对是个很Nice的行为,不应该被惩罚。
  • Disable "Visibility Modifier" -- 成员变量只能是private/protected,这条规则的唯一作用是提醒那些忘记写private,变成了package share level的变量,但其实也无关痛痒。而且个人更喜欢在POJO里直接public field,取消掉getter/setter。
  • Disable "Final Class" -- "class which has only private constructors is declared as final", 作用不大干脆不要了。
  • Disable "Trailing Comment" -- 在同一样里用//写注释,有时也不是问题。

PMD changes

  • Disable "Avoid Throwing Raw Exception Types" -- 不允许直接throw Exception/RunTimeException,只能throw它们的子类,特烦Java这些exception设计,所以取消掉。
  • Disable "Signature Declare Throws Exception" -- 不允许定义throws Exception, 理由同上。

可选修改:

  • Enable "Add Empty String" -- 禁止通过""+i,将i转为String这种不高效的做法。
  • Enalbe "Assignment In Operand" -- 最怕C++那种一行代码又比较又赋值的神级代码。
  • Enable "Avoid Multiple Unary Operators" --同上,不要有超过一个的符号,还是那种C++气息的 int i = ~-2;
  • Enable "Misplaced Null Check" -- 智能判断if (object1!=null && object2.equals(object1)) 这种错误的null check代码。
  • Enalbe "Package case" -- package名应该全小写。
  • Enable "Use Proper Class Loader" --在JavaEE环境,应该用Thread.currentThread().getContextClassLoader() 来取得classloader
  • Enable "Unnecessary Return" -- 不必要的return函数。
  • Disable "Unnecessary Local Before Return" -- 有时候多一个本地变量是为了代码更加好读。

FindBugs changes

  • Disable "Bad practice - Method invoked that should be only be invoked inside a doPrivileged block" -- 反射的时候很少会这么特殊处理,除非你是在一个SecurityManager严格的环境。
  • Disable "Correctness - Field not initialized in constructor" -- 太严格了,想象不到理由。
  • Disable "Reliance on default encoding" --不是每个项目都需要不停考虑encoding的问题。

可选修改:

  • Disable "Malicious code vulnerability - May expose internal representation by incorporating reference to mutable object" -- 从函数里面返回一个数组之类的就被说了,严格来说可能存在问题,但一般代码不用太管它吧。
  • Disable "Malicious code vulnerability - May expose internal representation by returning reference to mutable object" -- 同上。
  • Diable "Dodgy - Exception is caught when Exception is not thrown", 又一条没什么用的异常规则

Sonar Rules changes

  • Enable "Avoid use of deprecated method"

告警阀值

  • Rules compliance : 95% warning, 90% error
  • Coverage : 75% warning, 50% error

Tips

  1. 现在30天/15天/最近新增的violations是最有用的功能。 特别是对付有海量遗留问题的时候,可以只关注最近新增的violations, 保证不会引入新的violations。

  2. 对于不想计入覆盖率统计的,可以修改项目pom.xml中的cobertura插件的配置,比如我个人就不喜欢计算Entity与Controller。

    <plugin>
     <groupId>org.codehaus.mojo</groupId>
     <artifactId>cobertura-maven-plugin</artifactId>
     <configuration>
         <instrumentation>
             <excludes>
                 <exclude>**/entity/*.class</exclude>
                 <exclude>**/*Controller.class</exclude>
             </excludes>
         </instrumentation>
     </configuration>
    </plugin>