为声纳分析创建有效的Ci流水线的不同方法

Question

有人能帮助我如何使用Sonarqube分析源代码（JAVA）的最佳CI流水线？在我看来，我有一个管道，如SCM-->Jenkins --->maven build-->sonarqube analysis。

这是最佳做法吗？或者我们可以跳过maven构建，只做sonarqube分析SCM-->Jenkins-->sonarqube analysis。是否有任何其他CI管道对于主要寻求代码分析的组织来说是最佳实践？

Answer 1

既然你在谈论一个Maven构建，那么我知道我们正在处理Java。在这种情况下，你必须在建立前分析;大部分分析依赖于字节代码的深度和准确性。如果字节码不适用于SonarJava分析仪，则最终会产生大量的误报。

具体而言，您将得到与覆盖率，重复度相同的测量结果，包含或不包含字节码。但是，如果没有字节码，SonarJava将失去查看超类的能力，并了解哪些方法缺少注释。

更新：从SonarJava版本4.12二进制文件是必需的。 （有关更多详细信息，请参阅the docs）。