jenkinsci/analysis-model
GitHub: jenkinsci/analysis-model
一个用于解析、聚合和查询上百种静态分析报告格式的 Java 库,为 CI/CD 流水线提供统一的代码质量问题处理能力。
Stars: 90 | Forks: 194
# 静态分析模型与解析器库
[](https://gitter.im/jenkinsci/warnings-plugin?utm_source=badge&utm_medium=badge&utm_campaign=pr-badge&utm_content=badge)
[](https://github.com/jenkinsci/analysis-model/actions)
[](https://github.com/jenkinsci/analysis-model/actions/workflows/codeql.yml)
[](https://github.com/jenkinsci/analysis-model/actions/workflows/quality-monitor-comment.yml)
[](https://github.com/jenkinsci/analysis-model/actions/workflows/quality-monitor-comment.yml)
本库提供了一个 Java API,用于读取、聚合、过滤和查询静态分析报告。
我的 [Jenkins warnings 插件](https://github.com/jenkinsci/warnings-ng-plugin) 使用它来可视化
单个构建的警告。
此外,本库还被我的 [Quality Monitor GitHub Action](https://github.com/uhafner/quality-monitor) 使用,它基于一组可配置的指标监控项目质量,并在 GitHub 的 pull request(或单次提交)上提供反馈。
还有两个额外的 action 可用,用于基于这些指标自动为学生软件项目评分:[GitHub Autograding action](https://github.com/uhafner/autograding-github-action) 和 [GitLab Autograding action](https://github.com/uhafner/autograding-gitlab-action)。
该库基本由三个独立部分组成:
1. 一个用于管理静态代码分析运行中问题集合的模型。这包括使用指纹算法在不同源代码版本中跟踪问题的能力。
2. 支持超过一百种[报告格式](SUPPORTED-FORMATS.md)的解析器。本库可以检测的问题包括:
* 来自构建工具的消息(Maven, Gradle, MSBuild, make 等)
* 来自编译器的错误(C, C#, Java 等)
* 来自静态分析工具的警告(CheckStyle, StyleCop, SpotBugs 等)
* 来自复制粘贴检测器的重复代码(CPD, Simian 等)
* 漏洞
* 源文件注释中的开放任务
3. 为选定的静态分析工具集提供的额外描述,这些描述为单个违规提供详细信息(包括代码示例、解决方案或快速修复)。
所有源代码均根据 MIT 许可证授权。
欢迎对本库做出贡献,有关如何进行的详细信息,请参阅单独的 [CONTRIBUTING](CONTRIBUTING.md) 文档!
标签:DevSecOps, GitHub Action, Java库, Jenkins插件, JS文件枚举, pocsuite3, SAST, 上游代理, 云安全监控, 代码度量, 后台面板检测, 域名枚举, 域名枚举, 安全报告, 开源框架, 持续集成, 盲注攻击, 自动化审查, 解析器, 警告聚合, 软件测试, 问题模型, 静态分析