前言

最近在搞代码质量方面的项目,主要是针对Java语言,其他语言实际上也可以执行检查,核心原理是一样的,都是静态代码扫描,如果需要进行动态代码运行验证则可以通过单元测试的方式。以其中一个示例,实现自定义Java sonar规则。

准备

需要安装sonarqube或者sonarlint插件,自行实现

github:GitHub - SonarSource/sonar-java: :coffee: SonarSource Static Analyzer for Java Code Quality and Security

这里对于sonar来说,还有sonarqube的兼容性问题,这个xml定义了兼容的sonarqube版本,这里是8.9,笔者在使用最新版7.30.1.34514就出现签名错误的问题,这个版本支持9.9

 

关键是如下2个jar,在7.30相近的版本会出问题:An exception occurred while running the Java custom rule - Writing rules - Sonar Community

Caused by: java.lang.SecurityException: class "org.eclipse.jdt.core.dom.ASTUtils"'s signer information does not match signer information of other classes in the same package at java.base/java.lang.ClassLoader.checkCerts(ClassLoader.java:1150) 

 

可通过自定义版本依赖规避

编写规则

规则分为3部分:

1. 规则扫描部分

2. 示例代码部分

3. 规则描述文件部分

示例代码主要用来测试,即使代码编译不过,也可以执行扫描,因为是源码扫描

可以直接使用单元测试来验证规则,因为依赖了

java-checks-testkit

查看示例代码

@Rule(key = "SpringControllerRequestMappingEntity")
public class SpringControllerRequestMappingEntityRule extends BaseTreeVisitor implements JavaFileScanner {

  private JavaFileScannerContext context;

  // 扫描自定义,一般不需要
  @Override
  public void scanFile(JavaFileScannerContext context) {
    this.context = context;
    scan(context.getTree());
  }

  /**
   * Overriding the visitor method to implement the logic of the rule.
   * @param tree AST of the visited method.
   */
  @Override
  public void visitMethod(MethodTree tree) {
    Symbol.MethodSymbol methodSymbol = tree.symbol();

    // 类注解扫描
    SymbolMetadata parentClassOwner = methodSymbol.owner().metadata();
    boolean isControllerContext = parentClassOwner.isAnnotatedWith("org.springframework.stereotype.Controller");

    // 方法注解扫描
    if (isControllerContext && methodSymbol.metadata().isAnnotatedWith("org.springframework.web.bind.annotation.RequestMapping")) {

      // 方法的参数识别
      for (VariableTree param : tree.parameters()) {
        TypeTree typeOfParam = param.type();
        if (typeOfParam.symbolType().symbol().metadata().isAnnotatedWith("javax.persistence.Entity")) {
          // 识别参数的注解,然后报告问题,用于生成扫描问题报告
          // 在示例代码就会触发规则,如果我们把示例代码注解注释,就会扫描通过
          context.reportIssue(this, typeOfParam, String.format("Don't use %s here because it's an @Entity", typeOfParam.symbolType().name()));
        }
      }

    }
    super.visitMethod(tree);
  }

}

如果需要写其他的规则,那么sonar原生的很多已经实现的规则可以参考,修改即可,逻辑就是获取代码特征,然后根据自己的业务具体要求,实现代码逻辑即可,有点Java编译为class的味道。 

测试

使用测试用例

如果我们去掉参数的注解,执行单元测试,因为这个时候就符合规则扫描要求了,sonar的单元测试是有规则触发的问题时才是正常过测试用例的

总结

实际上这个很简单,如果需要考虑,那么需要考虑扫描算法怎么写,性能是否OK,毕竟一般执行扫描都是在代码编译打包的过程,本地很少单独执行扫描。sonar的规则写好后不需要使用sonarqube也可以验证,如果需要把规则给sonarqube,那么需要执行Maven插件的打包,放在sonarqube的plugins里面,sonar插件执行的shade fat jar打包,不需要额外的文件配置

Logo

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐