問題タブ [sonarcloud]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - 正規表現のパフォーマンスと安全性を確保する
解析したい文字列を正常に解析する 2 つの正規表現を作成しました。ただし、Sonar Cloud に対して正規表現を含むコードを実行すると (品質とセキュリティのチェック)、パフォーマンスとセキュリティに関する警告が表示されます。
以下は、私が作成した正規表現です ( · と - の文字に注意してください)。
ソナー クラウドの警告:
入力文字列に対する正規表現の評価は、非常に CPU を集中的に使用するタスクになる可能性があります。(a+)+s などの特別に細工された正規表現は、入力文字列 aaaaaaaaaaaaaaaaaaaaaaaaaaaaabs を評価するのに数秒かかります。問題は、入力に文字が追加されるたびに、正規表現の評価に必要な時間が 2 倍になることです。ただし、同等の正規表現 a+s (グループ化なし) はミリ秒単位で効率的に評価され、入力サイズに比例してスケーリングされます。
TLDR: 正規表現を改善する方法はありますか?
javascript - SonarCloud - Maven / bitbucket プロジェクトの Javascript のスキャン結果が表示されない
明らかな何かが欠けている可能性がありますが、SonarCloud に表示される javascript のスキャン結果を取得できないようです。リポジトリは 95% が角度のあるアプリで、5% が Java コードです。Java コード スキャンがSonarCloud に表示されますが、実際には、Angular アプリケーションで JavaScript をスキャンするだけで済みます。
明らかに、SonarCloud に接続されていますが、javascript には何も表示されません。
おそらく、このプロパティがjavascript以外の言語のスキャンをキャンセルし、javascriptスキャンが正しく構成されていない<sonar.language>js</sonar.language>
ため、SonarCloudにスキャン情報がまったく表示されないという効果があったpom.xmlファイルに追加しました。
angularプロジェクトをスキャンして、SonarCloudで結果を報告したいだけです。dist/portal
angularプロジェクトがビルドされているディレクトリをスキャンするか、 src/app
.
Java コードもスキャンされれば問題ありません。
あなたが提供できる助けや指針をありがとう。
- 使用した ALM: Bitbucket with Maven
- リポジトリの言語: java、javascript (javascript をスキャンするだけ)
- エラーが発生しました: SonarCloud に表示される JavaScript のスキャン結果がありません
リポジトリのディレクトリ構造は次のとおりです。
これは、pipeline.yml であり、maven を使用して sonarcloud を実行するステップです。
そして、これはディレクトリ内のプロパティpom.xml
ですdeploy/
:
azure-devops - SonarCloud を使用した Azure DevOps でテストが見つからない
AzureDevops で SonarCloud を使用しています。
YAML ファイルのシーケンスは次のとおりです。
- NuGet を復元する
- ソナー準備
- ビルド ソリューション
- テストを実行する
- ソナー分析
- ソナーパブリッシュ
出力場所は指定しません (少なくとも、意図的にではありません)。
テストを実行すると、次の出力が得られます。
テスト結果ファイル: d:\a_temp\TestResults\VssAdmin.....trx
しかし、ソナー分析ステップを実行すると、次の出力が得られます。
TRX ファイルを探しています: d:\a\1\TestResults
だから....パスが一致しません。
私は:
- 別のフォルダーにテストを書き込むように Azure に指示しますか?
- または、ソナーにテスト結果の場所を教えますか?
2番目のオプションの方が簡単かもしれないと思います-まだセットアップしていない別のソリューションでは、多くのテストプロジェクトがあります....
ありがとう
java - Java string.replace が string.replaceAll として機能しない
以下の形式でデータベースからのエントリがあります。最初に replace 関数の代わりに replaceAll を使用しましたが、SonarCloud でエラーが表示され、replaceAll から replace に変更するように求められます。ただし、replace はすべてのバックスラッシュを置き換えるわけではなく、実際にはテキスト内の何も変更しません。
Java コードでのデータベースからのエントリ:
replaceAll を使用して、以下のようにコードを書きましたが、正常に動作します。
SonarCloud を満足させるために、replaceAll を replace に変更して、replaceFirst メソッドを削除するようにします。それ以外の場合は、データベース出力から両方の二重引用符を削除します。
置換機能を含むコード:
私が試した2番目のことはエラーを出します:
azure-devops - sonarcloud 分析における fetchdepth=1 の重要性
私は Devops を初めて使用し、Azure Devops パイプラインで fetchdepth を設定することに行き詰まっています。Devops の 1 つは、Sonarcloud が適切な分析を行うように最小値を 10 に設定することを提案しています。そうしないと、すべてが 1 つのコミットに押しつぶされます。
これが原因でソナー分析がどのように影響を受けるかを誰か詳しく説明できますか? 私にとって、最新/最後のコミットは変更を下に保持し、分析に適しているはずです。:)
laravel - このホットスポット セキュリティ アラートを無視してもよろしいですか?
ソナークラウドを試しています。
ここでこのプロジェクトを分析しました: https://sonarcloud.io/dashboard?id=dominique-bureau_classified_ads
これは PHP プロジェクトです (Laravel フレームワークを使用)。ご覧のとおり、1 つの「セキュリティ ホットスポット」があります。「config/cors.php」ファイルについて。
私はまったく専門家ではないので、このアラートを無視してもいいのでしょうか。またはそれどころか、特にそうではありません!
java - ソース コードの代わりに Maven Dependency を使用して SonarCloud でカバレッジを実行する方法
Apache JCS のテスト ケースをいくつか書いています。大学の目的のために、これらのテストを Maven および SonarCloud と統合する必要があります。特に、JCS ソース コードをローカルに置かずにテストを実行する必要がありますが、Maven 依存関係を介してプロジェクトを「インポート」します。
pom.xml
とプロジェクトのビルドが正しく構成sonar-project.properties
され、テスト ケースが正しく実行されます。ただし、カバレッジメトリックも必要ですが、0% のままです。
pom.xml
解決策は、カバレッジがローカル コードだけでなく、依存関係を解決することによって実行されるように構成することにあると思います。何か案が?
pom.xml
sonar-project.properties
travis.yml
テスト例
.net - Github リポジトリの Sonarcloud レビューに失敗しました
https://github.com/fatihyildirim1o/aspnet-starter-kitに sonarcloud を使用していますが、以下のエラーのために機能していません。
私はどこで間違っていますか?