問題タブ [spotbugs]

Eclipse IDE 内で Spotbugs プラグインを使用しています。プロジェクト全体で Spotbugs を実行できます。これにより、分析レポートを表示するにはツールがプロジェクトをビルドする必要があるという印象を受けます。

しかし、ドキュメントによると、これは静的分析ツールです。

それで、プロジェクトをビルドする必要があるかどうかに興味がありましたが、それを静的分析ツールと呼ぶことができますか? プロジェクトをビルドする必要がない場合、単一の .java ファイルで Spotbugs を実行できますか?

SonarQube + FindBugs + FindSecBugs プラグインを使用してコードをスキャンしようとしています。

アイデアはコードの脆弱性を検出することであり、github プロジェクトの件名にあるように、scala で動作します https://github.com/find-sec-bugs/find-sec-bugs

ドキュメントにあるようにプラグインをインストールし、いくつかのスキャンを試みましたが、scala の脆弱性に関連するものは何も表示されません。

コードが本当に良いのか、それとも SonarQube の設定に誤りがあるのか​​を調べるために、http://find-sec-bugs.github.io/bugs.htmにアクセスして、例の 1 つを取り上げました。 (潜在的なパス トラバーサル)、サンプル コードを挿入し、もう一度スキャナーを実行しました。見つかりませんでした。

ルール (セキュリティ - 潜在的なパス トラバーサル (ファイル読み取り)) は品質プロファイルでアクティブ化され、Java プロファイルであるにもかかわらず、前述の例のコードは Scala であるため、プロジェクトに割り当てられます。

find-sec-bugs に由来するすべてのルールが Java のものであることに気付きました。そのため、それらが scala で機能しないのか、それとも機能させるために他にできることがあるのだろうかと考えています。

事前に感謝します。追加情報が必要な場合はお知らせください。喜んで提供させていただきます。

初めて Gradle プロジェクト用にSpotBugs プラグインを構成しています。

実行gradle check中にエラーが発生しましPlugin with id 'com.github.spotbugs' not found.た 何が間違っていますか?

グラドル バージョン 5.0。

いくつかの標準に準拠するために SpotBugs をセットアップしましたが、SpotBugs のユーザー インターフェイスと比較して、生成されたサイトで異なる結果が得られます。これは、pom ファイルでの SpotBugs の構成です。

を実行するmvn clean install siteと、サイトで 5 つのバグが報告されます。
を実行するmvn clean install spotbugs:guiと、GUI は 0 個のバグを報告します。

違いがあるのはどうしてですか？サイトの目標が除外フィルターを無視しているように見えますが、その理由がわかりません。また、ビルド/プラグイン セクションがレポート/プラグイン セクションとどのように関連しているかについても完全にはわかりません。私がここで何を台無しにしているのか誰かが教えてくれたら、とても感謝しています。

次のようなマルチプロジェクトのGradleセットアップがあります。

すべてのプロジェクトに SpotBugs を適用したいと考えています。

すべてのプロジェクトで次のことを行うと、明示的に機能します。

たとえば、build.gradleofの次のようになりProjectAます。

build.gradleただし、すべてのプロジェクトのファイルでこのコードを複製したくありません。

RootProjectこれをのビルド ファイルに取り込むにはどうすればよいですか。

例、次のブロック内:

ブロックをそのまま移動しても機能しません。