SonarQube v8.4 釋出了。SonarQube 是一個用於管理原始碼質量的平臺,幫助開發者編寫乾淨的程式碼,其支援的語言包括:Python、Java、PHP、C#、C、Cobol、PL/SQL 與 Flex 等。
此版本擴充套件了 OWASP(Open Web Application Security Project,開放式 Web 應用程式安全專案)型別覆蓋範圍、帶來了更快的分析速度、熱備份和更快的啟動。
Python 添加了 XSS 檢測,以及另外 4 個 OWASP Top 10 型別
此版本中添加了一個與 XSS 相關的 Security Hotspot:S5247 查詢在模板引擎中已關閉自動轉義的所有位置。XSS 在OWASP Top 10 中屬於 A7,此版本還增加了其它四個類別的覆蓋範圍:A2-身份驗證失敗、A3-敏感資料暴露、A4-XML 外部實體(XXE)和 A6-安全性錯誤配置。
XXE for C、C++ 和不安全函式的使用
除了 Python,C 和 C++ 中也添加了 XXE 檢測功能。
Java 和 C# 不安全反序列化檢測
添加了針對 C# 和 Java 的反序列化漏洞的檢測。不過針對 Java,這是一項商業功能。
22 條新的 Python 規則,更好的型別處理、Flake8 支援
Python 增加了 14 條新的 Bug 規則和 8 條新的 Code Smells,其中包括 4 條有關型別檢查的規則。此外,Python 分析現在可以理解 TypeShed 型別,因此現有規則變得更加智慧。同時,Flake8 使用者現在可以輕鬆匯入這些問題。
更快地分析 C#、C、C++ 和 Objective-C
在此版本中,透過消除分析過程中不必要和多餘的工作,加快了針對 C、C++、Objective-C 和 C# 的分析速度。對於 C、C++ 和 Objective-C,測試顯示分析時間最多可減少 80%,具體取決於專案使用的外部依賴項的數量,而 C# 分析顯示,時間平均縮短了 25%。
熱備份,更快的啟動
現在可以進行資料庫備份而無需關閉 SonarQube,不必擔心資料損壞。SonarQube 在問題索引編制完成之前接受並處理分析報告。這意味著,即使在介面完全可用之前,Quality Gate 的狀態也將被更新,併傳送 webhooks 和拉取請求。同時,一旦索引了每個專案,就可以瀏覽每個專案。簡而言之,當啟動在後臺進行時,開發生命週期可以正常繼續。
完整的更新內容見:
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/117066/sonarqube-8-4-released
SonarQube 8.4 釋出,分析時間最多可減少 80%已經有245次圍觀
