Какие SCA и Code Quality анализаторы для своего проекта посоветуете?

Question

Вадим @Viji

Associate DevOps Engineer

Какие SCA и Code Quality анализаторы для своего проекта посоветуете?

есть небольшой личный проект - преимущественно backend, но есть и frontend часть... Хочу поставить недорогой или бесплатный анализатор с проверкой качества кода (и отчетом по тест coverage, code smells и code security issues... а также, SCA - для vulnerabilities checks, для скажем 20 builds и deployments в день

Какие варианты посоветуете?

Вопрос задан более года назад
79 просмотров

3 комментария

Подписаться 1 Простой 3 комментария

Максим Федоров @Maksclub Куратор тега Веб-разработка

зависит от языка программирвоания, в каждом свои линтеры и стаанализторы

Написано более года назад
Вадим @Viji Автор вопроса

а при чем тут линтеры, я же говорю для CI/CD pipelines, а не для локальной разработки

frontend - react/vue
backend - golang

Написано более года назад
Василий Банников @vabka Куратор тега Веб-разработка

Вадим, линтеры можно и в ci/cd запускать. Если они ещё и в SARIF умеют экспортировать результат, то и отчёт будет хороший.

Написано более года назад

Решения вопроса 2

2 комментария

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+1 ещё

Простой
Как работает спам сообщений в ютубе?
- 1 подписчик
- 18 часов назад
- 95 просмотров
2

ответа
Веб-разработка

Простой
Как сделать чтобы при нажатии на кнопку или сылку в div блоке открывалась галерея?
- 1 подписчик
- вчера
- 36 просмотров
0

ответов
Веб-разработка

Простой
Почему сайт отображается некорректно?
- 1 подписчик
- 22 апр.
- 135 просмотров
3

ответа
Фронтенд

+2 ещё

Простой
Как правильно разделить frontend и backend на проекте с переездом на другой стек?
- 2 подписчика
- 22 апр.
- 139 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Существуют ли браузерные реализации WebView для AJAX и Fetch?
- 1 подписчик
- 22 апр.
- 88 просмотров
1

ответ
Веб-разработка

Простой
Каково критическое количество HTTP (ajax) запросов на сервер, как его расчитать?
- 1 подписчик
- 21 апр.
- 90 просмотров
3

ответа
Веб-разработка

+1 ещё

Простой
Как реализовать Web-CLI?
- 1 подписчик
- 21 апр.
- 73 просмотра
1

ответ
Веб-разработка

+1 ещё

Средний
Как вывести уведомления в фоновом "WebView"-приложении?
- 1 подписчик
- 21 апр.
- 69 просмотров
2

ответа
Веб-разработка

Простой
Как обойти блокировку просмотра видео?
- 1 подписчик
- 20 апр.
- 105 просмотров
3

ответа
Веб-разработка

Средний
Как отсортировать в ХТМЛ по дате рождения от младшего к старшему, а так же, нумерацию их 1,2,3,4. Чтобы можно было потом добавить еще людей?
- 1 подписчик
- 20 апр.
- 108 просмотров
1

ответ
Показать ещё Загружается…

Веб-разработчик

Искра • Екатеринбург

от 80 000 до 100 000 ₽

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Fullstack PHP Developer

Smapse Education

от 40 000 до 65 000 ₽

Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL

25 апр. 2024, в 05:57

3000 руб./за проект

Правки в webApp готового и написанного телеграмм бота next, tailwind

25 апр. 2024, в 05:29

25000 руб./за проект

Фронтер - DevOps. Развернуть фронт на хостинге. Прокинуть в телегу-бот

25 апр. 2024, в 04:38

10000 руб./за проект

зависит от языка программирвоания, в каждом свои линтеры и стаанализторы
а при чем тут линтеры, я же говорю для CI/CD pipelines, а не для локальной разработки

frontend - react/vue
backend - golang
Вадим, линтеры можно и в ci/cd запускать. Если они ещё и в SARIF умеют экспортировать результат, то и отчёт будет хороший.

Answer 1 · 2022-12-25 21:54:45

тест coverage

Такой отчёт может CI/CD система выдавать, но для этого тестовый фреймворк должен ей эту информацию сообщий.
Это не статический анализ.
В случая голанга для этого используется go tool cover
Если используется гитлаб, то вот инструкция по настройке:
https://docs.gitlab.com/ee/ci/testing/test_coverag...

code smells и code security issues

Это точно умеет Sonarqube даже в бесплатной версии.
Можно ещё в ci добавить какой-нибудь dependabot или его подобие, который будет смотреть за устаревшими библиотеками. + npm audit

Answer 2 · 2022-12-26 07:38:19

Добавлю к ответу Василий Банников
- да, SonarCloud на мой взгляд самый удобный
- я недавно познакомился с https://www.jit.io/. Очень интересный сервис - агрегатор open source security tools. Обещают добавлять новые tools. Не только static code scanning и не только код. Мне очень понравилось - https://www.linkedin.com/posts/vkarasik_devsecops-...

Какие SCA и Code Quality анализаторы для своего проекта посоветуете?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт