Комментарии 9
Есть кейсы когда сонар чтото действительно серьёзное обнаружил? Ну, кроме пресловутых code smells и процента покрытия тестами?
Запустил для "поиграть"
проверил пару свежих проектов. Ну такое. Lint ищет тоже самое. С виду только обвес под CRM аля под задачи ITIL/ITSM
Решил глянуть еще IOS проекты, а Swift только за деньги
Пошел смотреть прайс, цена одного проекта, платить раз в год. Ну такое :)
Я не их ЦА. 50+ проектов размером в 20-50к строк кода без учета конфигов и XML, с ними под все 100к строк, выходит 5 000 000 строк. Цена $23 000 / YEAR . Нуууу, пока руками, либо на внешний пентест
Можно отдельно прикрутить статический анализатор, он как раз и будет для этого предназначен. Сонар в первую очередь о качестве кода, а не об ошибках. Основная проблема пахнущего кода ведь не в том что он не работает, а в том что его сложно читать другим и расширять.
Мы как-то к одному с++ проекту его прикрутили. И резко количество копипасты, вложенности и «пахнущего» кода стало меньше. У нас был один одаренный программист который делал отличные прототипы (связанные с распознаванием), но его код невозможно было читать. Методы по 300-800 строк кода, доходило до 8 вложенных if/switch. После появления сонара он страдал, но со временем остальной команде стало намного легче.
Само собой мы не догматики и оставили возможность тушить сонар на определенных местах кода, при помощи спец комментариев, но такие вещи сразу бросались в глаза на код ревью и тщательно проверялись на возможность сделать лучше.
А можно ли настроить работу Sonar в пассивном режиме? Чтобы код чекался не в процессе CI/CD , а запускался отдельным пайплайном по расписанию, допустим, ночью и просто генерировал отчет о качестве кода с рассылкой всем заинтересованным?
SonarQube: делаем код лучше