声纳正在使用旧代码显示新的违规行为

时间:2018-07-24 17:35:44

标签: java sonarqube sonarqube-scan

我们正在使用Sonar Qube 6.7.3和sonar-java-plugin 5.3

我们最近对声纳配置进行了以下更改

  1. 启用新规则
  2. 更改配置以包括字节码(从“ clean sonar:sonar”更改为“ clean package sonar:sonar”)

我们正在使用声纳svn插件并为其提供有效的凭据。

我了解向声纳提供字节代码将有助于其识别更多问题,但是,我期望Sonar根据svn代码提交日期和上次分析日期来标记新问题,但这不是。 >

请让我知道为什么它会将旧代码中的问题标记为新问题?

1 个答案:

答案 0 :(得分:2)

Sonar Sanner始终扫描整个代码库。如果有人确定某些代码结构错误或危险(规则集已更改),则SonarQube必须通知该代码的所有出现情况。为什么?让我们考虑以下示例:

在插件升级之后,SonarQube提供了一个非常重要的新安全规则,该规则禁止使用危险的密码算法。现在的问题是:

  • 在新代码中是否只有危险?
  • 总是危险吗?

当然,这总是很危险的。 SonarQube不会强迫您修复所有问题(质量门的使用是可选的)。其主要目的是让您知道整个代码库中存在多少个问题(代码气味/错误/漏洞)。