問題タブ [sonarlint-vs]

SonarQube で C# ファイルを除外すると、これらの除外されたファイルに対して fxcop の問題がまだリストされます。次のように、SonarQube サーバー設定だけでなく、ms プロジェクト ファイルでも、C# ファイルを除外するさまざまな方法を試しました。

このファイルは明らかに除外されていますが、ファイルに関する fxcop の問題は依然としてリストされています。問題がそのファイルに関連しているという情報を SonarQube が解析しなかったようです。問題は適切なモジュールにリストされていますが、ビルドの生の出力に fxop 問題の行番号が含まれていても、ファイルの行番号はありません。

fxcopの問題もリストされないように、SonarQubeでC#ファイルを適切に除外する方法を知っている人はいますか?

私のセットアップは、Azure 上のマシンでホストされている次の SonarQube 6.0 + Nginx (2 つの Docker コンテナー) です。
私は sonar-auth-aad を設定しましたが、ブラウザで魅力的に機能しています。
自己署名証明書をローカル マシンのストアに追加したので、エラーは発生しなくなりました。
私のマシンには、Vs2015 update 3 と、今日の sonarlint の最新バージョンがあります。
AAD ログインを使用してサーバーに接続しようとすると、プレーンな sonarqube 資格情報で動作しますが、動作しません。
まだサポートされていないものですか、それとも機能させるために何かを構成できますか?
ありがとう！

私が働いている部門のコード ベースを改善しようとしています。私の考えは、開発者が変更しているファイルでのみ SonarQube と SonarLint を実行したいということです。sonarqube には次のものがあり ます。

SonarLint で同じことを行う方法はありますか?

SonarLint が現在のすべてのファイルの問題を一覧表示しようとしていて、ユーザーが変更したファイルの問題のみを一覧表示したい場合、大きな技術的負債のあるコード ベースを使用します。

あなたの考えや、同様のことを達成するための他の方法を教えてください

sonarqube とは別に、Visual Studio で Sonarlint プラグインを実行しています。カスタムルールをsonarlintのルールセットに追加できますか??

ルールセットに編集/追加ルールがあるかどうかを確認しようとしました。

私が Java で遭遇した SonarLint ルールの大部分は、もっともらしく正当化されているように見えました。しかし、VB.NET 用の SonarLint を使い始めて以来、いくつかのルールに出くわし、それらの有用性や、それらが正しく機能しているかどうかさえ疑問に思うようになりました。

これが、いくつかの VB.NET コンストラクトを次善の方法で使用したことによる単純な問題なのか、それともルールに実際に欠陥があるのか​​を知りたいです。(この質問が少し長い場合は申し訳ありません。個々のルールごとに個別の質問を作成する必要があるかどうかわかりませんでした。)

私が見つけた次のルールは、実際には誤検知として現れるいくつかのケースを考慮しないままにしておくことがわかりました:

• S1871 : 同じ条件構造内の 2 つの分岐がまったく同じ実装
  であってはなりません。条件がチェックされる順序が実際に重要な場合があるため、これは多くの誤検知を引き起こすことがわかりました。次の疑似コードを例にとります。

  この Sonar ルールに従い、コードを同じように動作させたい場合は、各 ElseIf 条件の否定バージョンを最初の If 条件に追加する必要があります。
  別の例は、次のスイッチです。

  スイッチで最後のケースを使用しても問題はありません。確かに、前もって 0 に初期化valueして最後のケースを無視することもできましたが、そうすると、必要以上に代入操作が 1 つ増えてしまいます。defaultそして、Java ルールセットは、すべてのスイッチに常に大文字と小文字を区別するように私を条件づけました。

• S1764 : 2 項演算子の両側で同じ式を使用しないでください
  このルールは、一部の関数が呼び出すたびに異なる値を返す可能性があることを考慮していないようです。たとえば、要素にアクセスするとコレクションから要素が削除されるコレクションなどです。

  ただし、これが特別な例外を設けるにはエッジケースが多すぎるかどうかは理解しています。

私が実際に確信していない次のルール：

• S3385 : "Exit" ステートメントは使用しないでください。の方が より読みやすい
  ことに同意しまたはループから抜け出すためにシングルを使用するのは本当に悪いことJava の SonarLint ルールでは、問題としてフラグを立てる前に、ループ内で単一の使用を許可しています。その点で、VB.NET のデフォルトがより厳密である理由はありますか? それとも、ほぼすべてのループの問題を LINQ 拡張メソッドとラムダで解決できるという前提に基づいてルールが構築されているのでしょうか?ReturnExit SubExit ForForFor Eachbreak;
• S2374 : 署名された型は、署名されていないものより優先される
  べきです。私のコードでは、ID 値に UInteger のみを使用しています (私の場合、負の値は必要なく、Long はメモリの無駄になるため)。これらは List(Of UInteger) に格納され、他の UInteger とのみ比較されます。このルールは私の場合にも関係がありますか (比較はルールで言及されているこれらの「算術演算子」の一部ですか)、落とし穴は正確には何ですか? そうでない場合は、宣言ではなく、符号なしの型を含む算術演算にその規則を適用する方がよいのではないでしょうか?

• S2355 : 配列作成式の代わりに配列リテラルを使用する必要があります
  VB.NET についてはよく知らないかもしれませんが、初期化長が実行時にのみ知られていますか? これは偽陽性ですか？

  確かに、おそらく List(Of Object) を使用できます。でもとにかく気になる。

コマンド ラインに Sonarlint を使用して、C# プロジェクトの HTML 問題レポートを生成しようとしています。Sonarlintコマンドラインページからダウンロードして指示に従っても、c#レポートを生成できません(c#プラグインをプラグインフォルダーにコピーした場合でも)が、Javaプロジェクトでは正常に動作します。

私の質問は、Sonarlint で C# html の問題レポートを作成できますか? できない場合、これを達成する別の方法はありますか? 前もって感謝します

SonarQubeソリューションをプロジェクトにバインド中にエラーが発生しました。VS 2015 Update SonarLint3、2.8.0.214、およびSonarQube5.6 を使用しています。また、既にバインドされているプロジェクトの更新は失敗します。

SonarLintこれは、昨日からインストールした新しいバージョンと関係があると思います。拡張機能を更新する前は、SonarLintこの種のエラーは発生していません。

プロジェクト数が範囲外のようです:

この問題を解決するにはどうすればよいですか?

ご協力いただきありがとうございます。

sonarlint-visualstudio GitHub プロジェクトのクローンを作成し、デバッグ VSIX バージョンをインストールしました。出力は次のとおりです。

Roslyn SDK Generator を使用して、VisualStudio 2015 でカスタム SonarQube ルールを作成しようとしています。

ジェネレーターは正常に動作し、.jar ファイルを SonarQube サーバーに公開して、毎日のビルドでカスタム ルールを使用できます。ここで、ルールを「脆弱性」に分類したいと思いますが、常に「コードのにおい」として表示されます。

私はいくつかのアプローチを試しました：

1. DiagnosticDescriptor クラスの「Category」を「Security」に変更

   /li>

2. ジェネレーターが提供する xml テンプレートを変更し、新しい xml を使用してプラグインを再生成しました (生成された "MAINTENABILITY_COMPLIANCE" の代わりに "SECURITY" と "SECURITY_COMPLIANCE" を試しました)。

   /li>

これまでのところ何も機能していません。

次の構成を使用しています。

• VS2015 アップデート 3
• SonarQube v. 6.1
• SonarLint v. 2.8
• SonarQube.Roslyn.SDK v. 1.0 で開発されたカスタム C# アナライザー

サーバーでホストされている SonarQube 5.4 によって提供されるルールを使用して、コミット前の増分分析を行う方法を見つける必要があります。分析する最も重要なファイルは JavaScript ファイルであり、ASP.NET フレームワークを使用して C# で作業しているため、大規模なチームに Eclipse をインストールすることは現実的ではありません。

Sonar-Scanner 2.8 を試してみましたが、サーバーで既に行われた分析を取得せず (すべての問題を新規として表示)、除外にも反応しません。たとえば、インクリメンタル分析はサポートされなくなり、問題分析はそれが何をするかについて適切に文書化されていないため、その問題に関するドキュメントは古くなっています。

sonar-project.propertiesの関連部分: