Какие SCA и Code Quality анализаторы для своего проекта посоветуете?

есть небольшой личный проект - преимущественно backend, но есть и frontend часть... Хочу поставить недорогой или бесплатный анализатор с проверкой качества кода (и отчетом по тест coverage, code smells и code security issues... а также, SCA - для vulnerabilities checks, для скажем 20 builds и deployments в день

Какие варианты посоветуете?

Дополнительно:

зависит от языка программирвоания, в каждом свои линтеры и стаанализторы

  • а при чем тут линтеры, я же говорю для CI/CD pipelines, а не для локальной разработки

    frontend - react/vue
    backend - golang

  • Вадим, линтеры можно и в ci/cd запускать. Если они ещё и в SARIF умеют экспортировать результат, то и отчёт будет хороший.

    • тест coverage

    Такой отчёт может CI/CD система выдавать, но для этого тестовый фреймворк должен ей эту информацию сообщий.
    Это не статический анализ.
    В случая голанга для этого используется go tool cover
    Если используется гитлаб, то вот инструкция по настройке:
    https://docs.gitlab.com/ee/ci/testing/test_coverag...

    code smells и code security issues

    Это точно умеет Sonarqube даже в бесплатной версии.
    Можно ещё в ci добавить какой-нибудь dependabot или его подобие, который будет смотреть за устаревшими библиотеками. + npm audit

    • Sonarqube даже в бесплатной версии - я так понимаю надо будет свой Sonarqube server поднимать и он уже будет давать отчеты по code coverage и SCA?
    • Вадим, да

    Добавлю к ответу Василий Банников
    - да, SonarCloud на мой взгляд самый удобный
    - я недавно познакомился с https://www.jit.io/. Очень интересный сервис - агрегатор open source security tools. Обещают добавлять новые tools. Не только static code scanning и не только код. Мне очень понравилось - https://www.linkedin.com/posts/vkarasik_devsecops-...

    • как я понимаю jit работает только с GitHub actions? А если я использую, скажем TeamCIty или Jenkins?
    • Вадим, Да, я об этом забыл написать. Он сам генерирует нужные GitHub actions, что по-моему очень красиво. Но с TeamCIty или Jenkins это не получится.
      Тогда самому интегрировать с SonarCloudQube, и что-то для SCA - например Snyk.

    + Заказать

     

    Для решения данной проблемы вы можете воспользоваться услугами фрилансеров. Мы выполним необходимую работу быстро и качественно.

     

      • Какие SCA и Code Quality анализаторы для своего проекта посоветуете?Есть ответ
      • 09.04.2024
      Ответить

      Для анализа структурного кода и качества кода в проекте существует множество инструментов и анализаторов, которые могут помочь вам улучшить качество вашего кода и выявить потенциальные проблемы. Вот несколько популярных анализаторов, которые могут быть полезны в вашем проекте:

      1. PHP_CodeSniffer - это инструмент для проверки соответствия кода стандартам PSR (PHP Standards Recommendations). Он поможет вам поддерживать единый стиль кода в вашем проекте и выявлять потенциальные проблемы сразу.

      2. PHPStan - это инструмент статического анализа PHP кода, который помогает выявить ошибки на этапе написания кода. Он обнаруживает несовместимости типов, пропущенные переменные и другие потенциальные проблемы.

      3. PHPMD - это инструмент для поиска и исправления проблем в коде, связанных с поддержанием чистоты кода, его структурой и сложностью. Он предоставляет различные правила для анализа кода и выдает рекомендации по его улучшению.

      4. SonarQube - это инструмент для непрерывного мониторинга качества кода, который обеспечивает анализ метрик, обнаружение дублирующегося кода, выявление потенциальных уязвимостей и другие возможности для улучшения качества кода.

      Эти анализаторы могут быть интегрированы в ваш рабочий процесс разработки и помогут вам поддерживать высокое качество кода в вашем проекте. Конечно, выбор конкретных инструментов зависит от вашего проекта, его требований и предпочтений. Но использование данных инструментов будет полезным для обеспечения стабильности и чистоты вашего кода.

      • Какие SCA и Code Quality анализаторы для своего проекта посоветуете?Есть ответ
      • 07.04.2024
      Ответить

      Для анализа кода вашего проекта и повышения его качества существует множество инструментов и анализаторов. Вот несколько рекомендаций:

      1. **SonarQube**: Один из самых популярных инструментов для анализа кода. SonarQube предоставляет широкий спектр функций, включая статический анализ кода, анализ дубликатов, кодовых запахов и многое другое. Он поддерживает множество языков программирования, включая PHP.

      2. **PHP_CodeSniffer**: Этот инструмент поможет вам поддерживать стандарты кодирования в вашем проекте. Он проводит анализ вашего кода и предупреждает вас о нарушениях стандартов, таких как отступы, именование переменных и т. д.

      3. **PHPStan**: Этот инструмент является статическим анализатором для PHP, который помогает выявить потенциальные ошибки и улучшить качество вашего кода. Он проверяет типы данных, ошибки в синтаксисе и т. д.

      4. **PHPMD**: Еще один полезный инструмент для анализа кода на PHP. Он проверяет ваш код на наличие кодовых запахов (code smells), таких как дублирование кода, сложность методов и т. д.

      5. **ESLint и Stylelint**: Если вы работаете с JavaScript или CSS, то рекомендуется использовать данные инструменты для анализа качества кода в соответствующих языках.

      Эти инструменты помогут вам улучшить качество вашего кода, выявить потенциальные проблемы и увеличить производительность вашего проекта. Вы можете комбинировать их использование для достижения наилучших результатов.

    Оставить комментарий