SonarQube

安全

分析代码质量、跟踪缺陷并执行安全标准——Neotask 通过 OpenClaw 管理您的 SonarQube 项目。

你能做什么

代码分析和质量门状态

向 Neotask 询问任何项目的当前质量门状态。获得关于通过的内容、失败的内容以及需要更改哪些内容才能通过的简单英语摘要。

问题分类和分配

列出按严重性、组件或年龄过滤的未解决的错误、漏洞和代码气味。分配问题、标记误报以及批量解决无法修复对话中的项目。

覆盖范围和重复报告

提取行和分支覆盖率百分比,识别覆盖率为零的文件,并显示顶部重复的代码块。对于冲刺计划和技术债务优先级很有用。

安全热点审查

列出项目中的所有安全热点,检查其状态,并将检查的项目标记为安全或已确认的漏洞 - 无需 UI 即可保持安全检查队列的移动。

质量概况和规则管理

查看活动的质量配置文件、比较配置文件之间的规则集、激活或停用特定规则以及将配置文件分配给项目 - 所有这些都通过自然语言命令进行。

尝试询问

  • “我们 SonarQube 中的 main-api 项目的质量门状态如何?”
  • “列出上一个冲刺中打开的支付服务项目中的所有严重错误”
  • “前端存储库的代码覆盖率是多少?哪些文件的覆盖率低于 50%?”
  • “显示我们 SonarQube 组织中尚未审核的所有安全热点”
  • “遗留单体项目有多少技术债务?”
  • “将身份验证服务中的所有关键漏洞分配给开发人员 jane@company.com”
  • “哪些 SonarQube 项目目前未通过质量门?”
  • “哪些规则在“Java 安全”质量配置文件中有效,但在“Java 默认”中无效?”

    • 专业提示

  • 在 CI 管道中设置 Quality Gate 实施,并使用 Neotask 立即调查故障,而不是通过 SonarQube UI 进行挖掘
  • 索取每周技术债务趋势报告——SonarQube 以天为单位进行衡量;跟踪轨迹比绝对数量更重要
  • 使用 Neotask 在冲刺开始时将问题批量分配给正确的所有者,而不是将它们留在待办事项中未分配
  • 在审查拉取请求时请求比较两个分支的质量门状态 - 对于确认功能分支不会降低质量非常有用
  • 通过 Neotask 将 SonarQube 发现结果与 Snyk 漏洞数据配对,以获得跨 SAST 和依赖项扫描的统一安全态势视图

    • Works Well With