伞源科技Pinpoint和sonarQube对比
测试背景
使用工具:
- 源伞科技Pinpoint
- Sonarqube
测试项目:
- 本地测试框架项目两个文件
文件1:AsyncHttpClientUtil.java
文件2:FileUtil.java
测试结果汇总
数据统计:
- 源伞科技Pinpoint结果:
- 文件1:
- 严重:14
- 中等:2
- 文件2:
- 严重:8
- 中等:1
- SonarQube结果:
- 文件1:
- 严重:13
- 文件2:
- 严重:18
- 一般:4
- 建议:1
测试细节:
- 1、数量:
- 从数量看,Pinpoint较SonarQube结果数量少。
- 2、安全隐患:
- SonarQube报告包括
- 5处空指针异常,
- 4处无引用方法,
- 两处““InterruptedException” should not be ignored”问题,
- 1处注释问题,1处“Utility classes should not have public constructors”问题。
- 13处用日志记录代替标准输出问题
- 1处导致资源泄漏问题
- 1处字符串文本不应重复
- 1处 Try-with-resources should be used
- 1处 工具类不应该有公共构造函数,工具类不宜实例化,且应有一个私有构造方法。
- 2处 可合并的“if”语句应该合并。
- Pinpoint报告
- 9处空指针,
- 5处返回null给函数调用者,
- 2处函数 instanceof<java.lang.Exception> 的返回值没有被检查
- 1处创建了一个java.io.BufferedReader类的对象
- 2处if else分支问题
- 1处导致资源泄漏问题
- 2处 在util.FileUtil.readerFile(String)中找到对默认编码的依赖:new java.io.InputStreamReader(InputStream)
- 1处 util.FileUtil.readerFile(String)在循环中使用+连接字符串
主要结论:
- 从报告总量上SonarQube比Pinpoint数量多,但是无效问题居多,多出的问题一般是代码规范问题。(本次两款软件均采用默认级别扫描。 )
- SonarQube报告的4处无引用方法、2处注释问题、13处打印输出问题、2处合并if问题,并不影响程序执行,而Pinpoint每个报告都是需要去查看修改。
- Pinpoint 规则里可以判断程序中出现的条件判断语句问题,发现该问题2处。而且支持跨函数和跨文件扫描,发现该问题一处。(这两种问题sonar扫描不到)
- Pinpoint和SonarQube关注点有区别,sonar关注于代码规范,Pinpoint更关注与代码错误,且有效问题较高。
- sonar开源支持语言比PinPoint多,规则也可以选择。
- 个人观点:sonar适合开发日常自检,Pinpoint适合验收检测。
标签:文件,java,Pinpoint,伞源,sonarQube,问题,SonarQube,sonar From: https://blog.51cto.com/u_13579716/6107969