源码扫描
概述
在现代软件开发过程中,代码质量和安全至关重要。随着代码库的不断增长和开发团队的扩大,手动检查代码质量和安全漏洞变得越来越困难。
Rainbond 源码扫描是 Rainbond 平台提供的代码质量和安全检测工具,通过集成 SonarQube 代码分析引擎,对代码进行自动化扫描,发现潜在的质量问题和安全漏洞。该工具与 Rainbond 应用模型深度集成,开启后每次构建自动触发扫描,扫描结果直接展示在组件视图中,无需跳转外部系统。
功能对比
下表对比了传统代码质量检查与本插件的差异:
| 维度 | 传统代码质量检查 | Rainbond 源码扫描 |
|---|---|---|
| 效率 | 手动检查耗时费力,容易遗漏 | 自动化扫描,构建时自动触发 |
| 覆盖率 | 检查范围有限,难以覆盖所有代码库 | 支持 20+ 编程语言,覆盖常见漏洞类型 |
| 集成度 | 需要手动集成到开发流程中 | 组件视图一键开启,构建时自动扫描 |
| 可视化 | 结果输出不直观,需要专业人员解读 | 可视化报告和问题追踪,支持修复指导 |
核心能力
构建拦截与质量门禁
开启源码扫描后,每次构建先检测后构建,质量不达标直接拦截,无法继续构建流程。操作记录中可以看到「源码检测」步骤的执行状态,未通过质量门禁的构建会被标记为失败。
扫描结果直接集成到组件视图的「源码扫描」标签页中,展示当前状态、质量门禁通过情况、检测报告和问题详情,无需跳转外部系统。
- 质量门禁:可自定义质量标准(代码覆盖率、重复率、漏洞数量等),未通过的代码无法继续构建
- 检测报告:质量概览展示 Bug 数、漏洞数、不规范数和重复率
全栈语言精准检测
深度支持 Java、Go、Python、Node.js、PHP 等 20+ 编程语言,针对框架特性优化检测规则(Spring Boot、Vue、React、Django 等),自动识别项目技术栈。
扫描维度覆盖:
| 检测类型 | 说明 |
|---|---|
| Bug 检测 | 空指针、资源泄漏、并发问题等运行时风险 |
| 安全漏洞 | SQL 注入、XSS、CSRF、路径遍历等 OWASP Top 10 漏洞 |
| 代码异味 | 重复代码、过长方法、高圈复杂度等可维护性问题 |
| 合规性检查 | 各语言编码规范(Java Code Conventions、Go Style 等) |
可视化报告与问题追踪
问题列表详细展示每个问题的描述、严重程度、所在文件和代码位置,支持按类型筛选和排序,帮助开发者快速定位和修复。
使用指南
启用插件
- 进入 平台管理 -> 插件中心,找到「源码扫描」插件并启用。
- 点击「管理」按钮,可直接跳转到对应应用。
开启组件级扫描
方式一:组件创建时开启
- 新增组件时,输入代码仓库地址和分支。
- 在组件创建流程中找到「源码扫描」配置并开启。
- 完成创建,首次构建会自动触发扫描。
方式二:已有组件开启
- 进入组件视图,切换到 源码扫�描 标签页。
- 点击开启源码扫描。
- 下次构建时会优先执行源码检测,检测通过才会继续构建。
查看扫描报告
扫描完成后,在组件视图的源码扫描标签页查看:
- 当前状态:显示扫描是否通过质量门禁
- 质量概览:Bug 数、漏洞数、不规范数、重复率
- 问题详情:具体问题列表,包含严重程度、所在文件和修复建议