背景信息
代码检查是基于云端实现代码质量管理的服务,软件开发者可在编码完成后执行多语言的代码静态检查和安全检查,获取全面的质量报告,并提供缺陷的改进建议。
支持的特性有:
自研代码检查引擎
五大业界主流标准和华为编程规范
日均百亿级扫描能力
一站式问题闭环修复
“代码编写、代码合并、版本发布”三层缺陷防护
操作流程
介绍代码检查服务的基本操作流程图,帮助您快速上手代码检查。
操作步骤
一、新建代码检查任务
在软件开发生产线首页选择“服务 > 代码检查”,单击“代码检查”首页的“新建任务”创建代码检查任务。创建任务时通过关联项目下代码仓库拉取代码。
二、执行代码检查任务
代码检查任务新建成功后,单击任务的开始检查按钮进行执行。
三、查看代码检查报告
检查完成后,单击检查任务名称,进入代码检查详情页面,可以查看“概览”、“代码问题”、“代码度量”等。
代码检查常见问题
代码检查常见问题
-
代码检查能够检查哪些语言?
目前支持Java、C++、JS、TypeScript、C#、Python、PHP、Go、HTML、CSS。
-
代码检查能够检查哪些维度?
代码检查主要从“编码风格”、“编码问题”、“编码安全”和“架构设计”方面对源代码进行检查分析,上报代码缺陷,并分析源代码的“圈复杂度”和“代码重复率”,根据检查结果评定代码风险指数、并提出修改建议。
-
代码检查能否检查本地代码?
代码检查不能单独使用,需要配合云端代码仓。当前支持的云端代码仓服务有:CodeArts Repo代码托管、Github、码云和通用Git代码仓。
代码检查服务仅适用于云端代码仓库,需要将本地代码提交到云端代码仓库后,才能进行云端代码检查分析。
-
代码检查就是检查代码执行的Bug吗?
不是。
代码检查服务是对代码仓库中的指定源代码进行静态分析,即在不运行代码的情况下,通过词法分析、语法分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标。同时,对分析出的代码缺陷提供示例与修改建议。
-
代码检查缺陷如何定位到代码提交者?
在任务的“设置 > 高级设置”中,开启精准匹配可以定位到代码提交者。
说明:在项目成员提交代码前,请先执行代码检查任务,修改无误后再提交合并。 -
代码检查如何保证客户代码安全?
帐号由IAM统一认证,需求管理中每个项目均设有权限管理机制,项目管理员才可以管理项目成员。
-
代码检查是否可检查SQL注入等安全问题?
代码检查支持编码风格、编码问题、编码安全、架构设计、圈复杂度、代码重复率等功能,其中编码安全中支持检查SQL注入、XML外部实体注入攻击、潜在LDAP注入攻击、潜在的Xpath注入攻击等。
-
JAVA语言任务编译参数设置
选用全面规则集、安全规则集或者移动领域-Android规则集时,需要设置检查参数,用于编译结果文件检查。
- 进入任务“设置 > 规则集”页面。
- 单击“已包含语言”所在行
重新获取代码仓语言。 - 单击“检查参数”按钮。
- 选择java编译工具、maven/gradle工具版本,输入maven/gradle编译命令。
