web层代码检查工具及规则调研报告.docVIP

web层代码检查工具及规则调研报告 —基于sonar的代码质量分析平台 Sonar概述 Sonar 是一个用于代码质量管理的开放平台。通过插件机制，Sonar 可以集成不同的测试工具，代码分析工具，以及持续集成工具。 与持续集成工具（例如 Hudson/Jenkins 等）不同，Sonar 并不是简单地把不同的代码检查工具结果（例如 FindBugs，PMD 等）直接显示在 Web 页面上，而是通过不同的插件对这些结果进行再加工处理，通过量化的方式度量代码质量的变化，从而可以方便地对不同规模和种类的工程进行代码质量管理。 在对其他工具的支持方面，Sonar 不仅提供了对 IDE 的支持，可以在 Eclipse 和 IntelliJ IDEA 这些工具里联机查看结果；同时 Sonar 还对大量的持续集成工具提供了接口支持，可以很方便地在持续集成中使用 Sonar。 此外，Sonar 的插件还可以对 Java 以外的其他编程语言提供支持，对国际化以及报告文档化也有良好的支持。 当前Oschina组织即使用sonar平台提供代码质量分析服务。 地址：/ Sonar安装 Sonar 是 Codehaus 上面的一个开源项目，使用的是 LGPL V3 软件许可。我们可以在其官方网站上下载其源代码及安装包。 下载 zip 包后，直接解压到任意目录，由于 Sonar 自带了 Jetty 6 的应用服务器环境，所以不需要额外的安装就可以使用，值得一提的是 Sonar 也支持部署在 Apache Tomcat 应用服务器中。 在 windows 环境中，直接启动 Soanr 的 bin 目录下windows-x86-64\StartSonar.bat 即可。然后在浏览器中访问：http://localhost:9000/ 图 2-1 Sonar访问界面 这样就成功安装并启动了 Sonar，但其中没有安装插件，需要用户下载并安装自己所需要的插件。本节以 Quality Index Plugin 为例，介绍如何下载及安装 Sonar 插件。 首先访问 Sonar 主页中 Dashboard Sonar Documentation Sonar Plugin Library 路径 图 2-2 Sonar 插件的下载 进入 Quality Index 插件，点击下载路径 图 2-3 Quality Index Plugin 下载 将下载的 sonar-quality-index-plugin-1.1.3.jar 文件放sonar\extensions\plugins 路径下。重启 Sonar，该插件就在 Sonar 的平台上运行并开始工作。 Sonar与Maven集成 Sonar可与Maven项目进行天然无缝集成，Maven项目构建时会自动进行代码检测，并将检测结果提交到Sonar服??端。那么，在使用Sonar平台前，项目需要做两个准备工作： 将开发架构和构建方式迁移到Maven模式上 在maven的全局setting.xml文件中增加如下配置 profile ????? properties ??????? sonar.jdbc.urljdbc:mysql://localhost:3306/sonar?useUnicode=trueamp;characterEncoding=utf8/sonar.jdbc.url ??????? sonar.jdbc.usernameusername/sonar.jdbc.username ??????? sonar.jdbc.passwordpassword/sonar.jdbc.password ??????? sonar.host.urlhttp://localhost:9000/sonar.host.url ????? /properties ??? /profile ? /profiles 使用方法 通过之前的配置，当项目使用maven方式进行构建时，Sonar会自动对项目中的目标代码，按照既定的规则进行检查，并将检查结果提交到Sonar数据库中。当项目构建完成，即可在Sonar平台客户端查看检查结果。可以通过两种方式对项目进行maven构建： 使用Eclipse中的maven插件进行构建 使用maven命令行进行构建 代码检查规则定义 JSP/HTML代码检查规则 注释中不能包含代码 页面中内嵌flash时必须同时使用“object”和“embed”两个标签 不要使用已在html5中弃用的标签 不要使用已在html5中弃用的属性 使用客户端锚点（usemap）代替服务端锚点（ismap） 不要使用“meta”进行页面刷新和重定向 单文件的代码行数不超过500行 使用“strong”和“em”代替