我们正在使用Sonar Qube 6.7.3和sonar-java-plugin 5.3
我们最近对声纳配置进行了以下更改
我们正在使用声纳svn插件并为其提供有效的凭据。
我了解向声纳提供字节代码将有助于其识别更多问题,但是,我期望Sonar根据svn代码提交日期和上次分析日期来标记新问题,但这不是。 >
请让我知道为什么它会将旧代码中的问题标记为新问题?
答案 0 :(得分:2)
Sonar Sanner始终扫描整个代码库。如果有人确定某些代码结构错误或危险(规则集已更改),则SonarQube必须通知该代码的所有出现情况。为什么?让我们考虑以下示例:
在插件升级之后,SonarQube提供了一个非常重要的新安全规则,该规则禁止使用危险的密码算法。现在的问题是:
当然,这总是很危险的。 SonarQube不会强迫您修复所有问题(质量门的使用是可选的)。其主要目的是让您知道整个代码库中存在多少个问题(代码气味/错误/漏洞)。