0

我正在使用 SonarQube 4.5.4 对我的 JAVA 项目运行分析,然后将结果加载到 SonarQube。SonarQube 正在显示问题,但对于少数问题,技术债务是空白的。当我使用 Sonar webservice api 提取报告时,我遇到了某些规则的空白债务问题

以下是债务为“空白”的 2 个示例规则,以下这些规则是 findbugs 插件的一部分:

findsecbugs:XXE_DOCUMENT DocumentBuilder.parse(...) 的使用容易受到 XML External Entity 攻击

checkstyle:com.puppycrawl.tools.checkstyle.checks.imports.ImportControlCheck 缺少导入控制文件。

是否没有为 findbugs 插件规则集中的所有规则定义技术债务?

4

1 回答 1

1

您已正确诊断出问题:并非所有规则都有技术债务定义。

SonarQube Findbugs Plugin v3.3 于 15 年 9 月 1 日发布,描述包括“修复缺少的 SQALE 债务”,所以它可能是你想要的。

从 SonarQube Checkstyle 插件的提交评论来看,v2.3 包含对 SQALE 模型的更新,但不能保证更新包含所有规则。

OTOH,所有 SonarQube Java 插件规则都应该有技术债务定义。:-)

于 2015-10-15T18:09:02.407 回答