Scan2Fix4Java product
Scan2Fix4Java le moteur dédié au langage java !
Panier
article
(vide)
Catégories
Fonctionalités
- analyse de code source java
- détection d'anomalies de développement, de respect des régles de sécurité applicative (locales à 1 fichier et sur l'ensemble de l'application)
- fonctionnement autonome
Mise en oeuvre
- Maven et Sonar suffisent
- déclenchement en mode commande / gestionnaire de tache ou kron conseillé
- auto upgrade du moteur de règle (download maven)
- intégration à l'existant via le fichier de configuration POM.XML
Intégration dans les environnements de développement et de production
- Sonar le tableau de bord unique multifacettes :
- intégration continue (jenkins par ex)
- code source + tests unitaires (Sonar et Scan2Fix 4CSharp ou 4Php ou 4VB6 ou 4Java)
- suivi de production (logs IIS Scan2Fix4Iis, Stack trace Windows Scan2Fix4Stt)
- audit qualité de site Web (Scan2Fix4Aspx)
- Serveur Web de Sonar accessible par tous les acteurs techniques (développeurs, chef de projet, inégrateurs Web, exploitation informatique)
- Génération de rapports en page Html statiques autonomes et publiable
Installation simple et rapide
- lors de la commande saisir en bas de page le hostname du serveur Sonar
- installer une jre java
- installer maven 2 ou 3
- installer Sonar (toutes versions)
- copier le plugin (le lien de download fourni à la validation de la commande) dans SONAR_HOME/extensions/plugins
- relancer le serveur Sonar
- sous admin / Profils, activer toutes les règles dans le profil "Default Java Profile")
- lancer un scan du code source et les anomalies apparaissent dans le dashboard Sonar
Exemple de fichier pom.xml
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
- <modelVersion>4.0.0</modelVersion>
- <groupId>com.qualitesys.wsqualitychecker</groupId>
- <artifactId>tfs_MEL_2012_06_19_java</artifactId>
- <version>2012_06_19_01</version>
- <name>tfs_MEL_2012_06_19_java</name>
- <properties>
- <sonar.language>java</sonar.language>
- <sonar.global>true</sonar.global>
- </properties>
- <pluginRepositories>
- <pluginRepository>
- <id>QualityChecker remote repository</id>
- <url>http://www.qualitesys.com/mavenrepository/</url>
- </pluginRepository>
- </pluginRepositories>
- <build>
- <!-- OBLIGATOIRE -->
- <sourceDirectory>C:your_dir_to_source_code</sourceDirectory>
- <plugins>
- <plugin>
- <groupId>com.qualitesys.maven.plugins</groupId>
- <artifactId>qcr-maven-plugin</artifactId>
- <executions>
- <execution>
- <id>PhaseCleanGoalqcrgoalclean</id>
- <phase>clean</phase>
- <goals>
- <goal>qcrgoalclean</goal>
- </goals>
- </execution>
- <execution>
- <id>PhaseCompileGoalqcrgoalcompile</id>
- <phase>compile</phase>
- <goals>
- <goal>qcrgoalcompile</goal>
- </goals>
- </execution>
- </executions>
- </plugin>
- <plugin>
- <groupId>org.apache.maven.plugins</groupId>
- <artifactId>maven-site-plugin</artifactId>
- <version>3.0-beta-3</version>
- <configuration>
- <reportPlugins>
- <plugin>
- <groupId>org.apache.maven.plugins</groupId>
- <artifactId>maven-project-info-reports-plugin</artifactId>
- <version>2.2</version>
- </plugin>
- <plugin>
- <groupId>com.qualitesys.maven.plugins</groupId>
- <artifactId>qcr-maven-plugin</artifactId>
- </plugin>
- </reportPlugins>
- </configuration>
- </plugin>
- </plugins>
- </build>
</project>
Exemple de lancement Maven seul
Nota : le plugin pour Sonar n'est pas requis. Usage limité à 5 jours.
mvn clean compile site
Maven génère le site Web statique sous target/site/index.html
Exemple de lancement Maven/Sonar
Nota : le plugin Sonar est requis. Il est fourni à validation de la commande ou sur demande expresse.
mvn clean qcr:qcrgoalclean qcr:qcrgoalcompile compile sonar:sonar
Inventaire des violations
| Id | Priority | Description |
|---|---|---|
| QC-JAVCWE078 | BLOCKER | Potential OS command injection |
| QC-JAVCWE080 | BLOCKER | Potential Basic XSS |
| QC-JAVCWE089 | BLOCKER | Potential SQL Injection |
| QC-JAVCWE369 | BLOCKER | Division by ZERO |
| QC-JAVCWE412 | BLOCKER | Unrestricted lock of critical ressource, deadlock |
| QC-JAVCWE470 | BLOCKER | Use of externally-controlled (unsafe reflection) |
| QC-JAVCWE572 | BLOCKER | Call to Thread run() instead of start() |
| QC-JAV999999 | BLOCKER | Syntax analysis failure on the source code |
| QC-JAVCWE096 | CRITICAL | Insufficient control of directives in statically saved code |
| QC-JAVCWE476 | CRITICAL | Null pointer reference |
| QC-JAVCWE484 | CRITICAL | Omitted Break Statement in Switch |
| QC-JAVCWE570 | CRITICAL | Condition NEVER true |
| QC-JAVCWE616 | CRITICAL | Incomplete identification of uploaded file |
| QC-JAVCWE190 | MAJOR | Overflow |
| QC-JAVCWE390 | MAJOR | Detection of error condition without action |
| QC-JAVCWE392 | MAJOR | Failure to report error in status code |
| QC-JAVCWE481 | MAJOR | Assigning instead of comparing |
| QC-JAVCWE493 | MAJOR | Critical public variable without final modifier |
| QC-JAVCWE584 | MAJOR | Return inside finally block |
| QC-JAV000001 | MAJOR | Instance is created within a loop, huge performance impact |
| QC-JAVCWE252 | MINOR | Return type of function is not tested |
| QC-JAVCWE500 | MINOR | Static public field not marked final |
| QC-JAVCWE582 | MINOR | Array declared public, final and static |
| QC-JAVCWE585 | MINOR | The software contains an empty synchronized block |
| QC-JAVCWE626 | MINOR | Null byte interaction error |
| QC-JAVCWE627 | MINOR | Dynamic variable evaluation for variable |
| QC-JAV999996 | INFO | Local Cut and Paste Detector in single file |
Exemple sur des projets Open Source
Projet H2
Url home page : www.h2database.com
Résultat de l'analyse du code source java : site.rar
Projet Jenkins
Url home page : jenkins-ci.org
Résultat de l'analyse du code source java : site.rar
- Compatibilité Sonar Sonar 3.0 to 4.1.2
- Compatibilité Maven maven 2&3
* champs requis