Какие SCA и Code Quality анализаторы для своего проекта посоветуете?

Question

Вадим @Viji

DevOps Engineer

Какие SCA и Code Quality анализаторы для своего проекта посоветуете?

есть небольшой личный проект - преимущественно backend, но есть и frontend часть... Хочу поставить недорогой или бесплатный анализатор с проверкой качества кода (и отчетом по тест coverage, code smells и code security issues... а также, SCA - для vulnerabilities checks, для скажем 20 builds и deployments в день

Какие варианты посоветуете?

Вопрос задан более года назад
86 просмотров

3 комментария

Подписаться 1 Простой 3 комментария

Максим Федоров @Maksclub Куратор тега Веб-разработка

зависит от языка программирвоания, в каждом свои линтеры и стаанализторы

Написано более года назад
Вадим @Viji Автор вопроса

а при чем тут линтеры, я же говорю для CI/CD pipelines, а не для локальной разработки

frontend - react/vue
backend - golang

Написано более года назад
Василий Банников @vabka Куратор тега Веб-разработка

Вадим, линтеры можно и в ci/cd запускать. Если они ещё и в SARIF умеют экспортировать результат, то и отчёт будет хороший.

Написано более года назад

Решения вопроса 2

2 комментария

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

+3 ещё

Простой
Firefox больше не отправляет в HTTP_ACCEPT image/webp?
- 3 подписчика
- вчера
- 525 просмотров
2

ответа
Веб-разработка

Средний
Как подключить поисковую систему в js?
- 1 подписчик
- вчера
- 89 просмотров
1

ответ
Веб-разработка

+1 ещё

Простой
Какой отечественный linux выбрать для веб-разработки?
- 2 подписчика
- вчера
- 2660 просмотров
8

ответов
Веб-разработка

+1 ещё

Средний
Как сделать загрузочный экран, чтобы он был виден всем кто онлайн?
- 1 подписчик
- 22 нояб.
- 116 просмотров
1

ответ
Веб-разработка

Простой
Правильная ли структура объекта для multi menu?
- 1 подписчик
- 22 нояб.
- 54 просмотра
0

ответов
Веб-разработка

+1 ещё

Простой
На сайте появились реклама, которая не должна быть?
- 2 подписчика
- 20 нояб.
- 271 просмотр
2

ответа
Веб-разработка

+3 ещё

Простой
Какие параметры отвечают за rateLimit в Ingress kuberneties?
- 1 подписчик
- 20 нояб.
- 66 просмотров
2

ответа
Веб-разработка

Средний
Как сделать автоматический запуск музыки на сайте с постоянным фоновым воспроизведением?
- 1 подписчик
- 18 нояб.
- 110 просмотров
2

ответа
Хранение данных

+1 ещё

Простой
Как правильно использовать S3 хранилища, и на сколько моя идея верна?
- 3 подписчика
- 17 нояб.
- 231 просмотр
2

ответа
HTML

+1 ещё

Простой
Вопрос по DIV и uKit (не обращайте внимания на знак вопроса)?
- 1 подписчик
- 15 нояб.
- 121 просмотр
1

ответ
Показать ещё Загружается…

Fullstack разработчик для веб-проектов

Asphera Tech

от 25 000 ₽

Fullstack разработчик (JavaScript, PHP, SQL), веб программист.

CleanTalk

от 1 800 $

Разработчик Drupal ( программист php 7 )

IT House

от 80 000 ₽

Обновить дизайн карты метро Москвы

24 нояб. 2024, в 13:04

500 руб./в час

Сделать сайт на Tilda

24 нояб. 2024, в 12:29

3000 руб./за проект

Сделать 5 видеобэкграундов для выступления детей

24 нояб. 2024, в 12:25

500 руб./за проект

зависит от языка программирвоания, в каждом свои линтеры и стаанализторы
а при чем тут линтеры, я же говорю для CI/CD pipelines, а не для локальной разработки

frontend - react/vue
backend - golang
Вадим, линтеры можно и в ci/cd запускать. Если они ещё и в SARIF умеют экспортировать результат, то и отчёт будет хороший.

Answer 1 · 2022-12-25 21:54:45

тест coverage

Такой отчёт может CI/CD система выдавать, но для этого тестовый фреймворк должен ей эту информацию сообщий.
Это не статический анализ.
В случая голанга для этого используется go tool cover
Если используется гитлаб, то вот инструкция по настройке:
https://docs.gitlab.com/ee/ci/testing/test_coverag...

code smells и code security issues

Это точно умеет Sonarqube даже в бесплатной версии.
Можно ещё в ci добавить какой-нибудь dependabot или его подобие, который будет смотреть за устаревшими библиотеками. + npm audit

Answer 2 · 2022-12-26 07:38:19

Добавлю к ответу Василий Банников
- да, SonarCloud на мой взгляд самый удобный
- я недавно познакомился с https://www.jit.io/. Очень интересный сервис - агрегатор open source security tools. Обещают добавлять новые tools. Не только static code scanning и не только код. Мне очень понравилось - https://www.linkedin.com/posts/vkarasik_devsecops-...

Какие SCA и Code Quality анализаторы для своего проекта посоветуете?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт