伞源科技Pinpoint和sonarQube对比

伞源科技Pinpoint和sonarQube对比

测试背景

使用工具：

• 源伞科技Pinpoint
• Sonarqube

测试项目：

• 本地测试框架项目两个文件
  文件1：AsyncHttpClientUtil.java
  文件2：FileUtil.java

测试结果汇总

数据统计：

• 源伞科技Pinpoint结果：

• 文件1：

• 严重：14
• 中等：2

• 文件2：

• 严重：8
• 中等：1

• SonarQube结果：

• 文件1：

• 严重：13

• 文件2：

• 严重：18
• 一般：4
• 建议：1

测试细节：

• 1、数量：

• 从数量看，Pinpoint较SonarQube结果数量少。

• 2、安全隐患：

• SonarQube报告包括

• 5处空指针异常，
• 4处无引用方法，
• 两处““InterruptedException” should not be ignored”问题，
• 1处注释问题，1处“Utility classes should not have public constructors”问题。
• 13处用日志记录代替标准输出问题
• 1处导致资源泄漏问题
• 1处字符串文本不应重复
• 1处 Try-with-resources should be used
• 1处 工具类不应该有公共构造函数，工具类不宜实例化，且应有一个私有构造方法。
• 2处 可合并的“if”语句应该合并。

• Pinpoint报告

• 9处空指针，
• 5处返回null给函数调用者，
• 2处函数 instanceof<java.lang.Exception> 的返回值没有被检查
• 1处创建了一个java.io.BufferedReader类的对象
• 2处if else分支问题
• 1处导致资源泄漏问题
• 2处 在util.FileUtil.readerFile(String)中找到对默认编码的依赖：new java.io.InputStreamReader(InputStream)
• 1处 util.FileUtil.readerFile(String)在循环中使用+连接字符串

主要结论：

• 从报告总量上SonarQube比Pinpoint数量多，但是无效问题居多，多出的问题一般是代码规范问题。（本次两款软件均采用默认级别扫描。 ）
• SonarQube报告的4处无引用方法、2处注释问题、13处打印输出问题、2处合并if问题，并不影响程序执行，而Pinpoint每个报告都是需要去查看修改。
• Pinpoint 规则里可以判断程序中出现的条件判断语句问题，发现该问题2处。而且支持跨函数和跨文件扫描，发现该问题一处。（这两种问题sonar扫描不到）
• Pinpoint和SonarQube关注点有区别，sonar关注于代码规范，Pinpoint更关注与代码错误，且有效问题较高。
• sonar开源支持语言比PinPoint多，规则也可以选择。
• 个人观点：sonar适合开发日常自检，Pinpoint适合验收检测。