Discussion :

[CoderInTheDark]

Lors de ma dernière mission j’ai fait de la configuration SonarQube.Pour ceux qui ne connaissent pas, Sonar est un outil de gestion de qualité du code en continu. J’ai été confronté à plusieurs problèmes.
Il était installé sur une machine distante, et je n’avais pas les droits pour l’utiliser en ligne de commandes avec un terminal distant. J’ai du me débrouillé avec l’interface web.
Quand je suis arrivé le serveur était configuré par défaut avec le projet, et lié à un serveur Jenkins, qui me permettait de lancer le Job Sonar, donc je pouvais me passer de la ligne de commandes sur ce points.
On m’a demandé de personnalisé la configuration du projet. Une forme de bizutage pour le petit nouveau. Il avait été installé, mais personne n’avait eu le temps de s’en occuper.C’est à mon avis une situation qui se retrouve souvent.
J’ai cherché des ressources, et je n’ai pas trouvé beaucoup de sites dédiés et surtout de nombreux articles étaient anciens. Et il était très difficile de transposer les conseils, car l’interface de Sonar est très riche et différent d’une version à l’autre.
C’est pourquoi je pense qu’une FAQ SonarQube, abordant les différentes façon de l’utiliser serait intéressante.

On peut utiliser SonarQube seul, dans ce cas c’est surtout pour afficher des rapports globaux. Car pour corriger un problème dans le code, il faut faire la navette entre la page web et l’éditeur, et cela devient très vite fatiguant.
De plus le rapport des problèmes de qualité de code est global, cela est parfois décourageant car on ne s’est pas par où commencer. On peut utiliser le niveau de gravité comme boussole, mais ce n’est pas toujours le meilleurs choix à mon avis.

On peut installer le plugin SonarLint dans son envirronement de développement., J’ai découvert le plugin SonarLint un peu par hasard, en recherchant de la documentation. J’ai travaillé avec la version pour Eclipse.L’avantage majeur est que l’on peu accéder aux erreurs directement depuis l’éditeur. Elles sont marquées en bleues dans la marge, aussi listé dans la console d’erreurs elles apparaissent dans un nœud inffos sous les warnings, et dans l’onglet «*sonar issues*». Cela évite de faire la navette entre le navigateurcontenant le rapport de SonarQube et l’IDE.
Le code est analysé en temps réel à l’ouverture du fichier. Comme il y a moins d’items, qu’avec le rapport global de Sonar Qube, cela est plus digest. Et surtout comme un problème ne bient jamais seul il vaut mieux traiter tous les problèmes d’une classes en même temps, ce que permet le traitement en temps réel dans l’éditeur.
Néanmoins les erreurs de chaque fichier s’accumulent à chaques ouverture d’un nouveau code, la liste peut s’allonger rapidement au gré de la navigation dans les classes du projet. Pour ne pas se laisser débordé il faut les supprimer ou dans le pire des cas relancer l’IDE.
Avec SonarLint on va droit au but, c’est à dire la correction des problèmes de qualité du code, au moment où ils apparaissent lors de la saisie ou de la navigation entre les fichiers.
La principal limitation est qu’il y a moins d’options et de configuration qu*‘avec SonarQube. En autre il faut utiliser une des convention de code, que l’on ne peut pas personnaliser, par défaut la convention de Sun, qui est une valeur sûre à mon avis.
Il est toujours possible de lancer une analyse globale du projet, si on veut attaquer les problèmes de front, et un autre onglet Sonar sauvegarde tous les problèmes non résolus avec la date de leur identification, pour miux vous rappeler qu’il faut s’en occuper.

Je l’utilise , et je trouve que c’est une aide précieuse. Et je pense que se serait à conseiller aux débutants, car c’est très formateur, tout en gardant un esprit critique.

La dernière solution est d’utiliser SonarLint en tandem avec un serveur SonarQube. Cette solution est destinée au travail en équipe. Dans ce cas il suffit de lier le projet dans Eclipse avec le serveur SonarQube. Il suffit de cliquer avec le bouton droit sur le projet et de suivre l’assistant. Cela permet de bénéficier des avantages des deux outils.
SonarLint peut reprendre la configuration définie sur le serveur, elle est donc commune à toute l’équipe. Il est possible de faire remonter les corrections sur le serveur et d’importer les rapports des autres utilisateur, pour disposer de rapport à jour sans relancer une analyse longue.

Globalement, je pense que installer Sonar longtemps après l*‘écriture des premières lignes de code est contre-productif, mais c’est souvent le cas. Et on est devant le fait accomplis, quand le rapport s’affiche les résultats sont déprimants et semble insurmontable.
SonarLint rend la tâche plus digeste, car cela permet de se limiter à ce que l’on odifie.
Il est aussi important de configurer rapidement la base de données, car celle configurée par défaut est une base en fichier local, qui n’est pas prévue pour soutenir de grandes charge. Et en configurant une autre base de données on perd toutes les informations précédentes.

En conclusion pour travailler avec SonarQube et SonarLint j’ai du faire beaucoup de recherches. J’ai trouvé beaucoup de ressources mais éparpillés façon pusse au quatres coins du web.
Sonar Tube propose aussi de nombreux metrics et on est vite noyé.
C’est pourquoi je pense qu’une FAQ sur le sujet serait très intéressante.

Et vous comment utilisez vous Sonar*?
Quels sont les metrics qui vous aides le plus*?
Pensez-vous que Sonar Lint est un outil à intégrer dans IDE*?

[Mickael_Istria]

Je suis un grand fan d'analyse de qualite de code (statique, dynamique, peu importe), et je trouve que ce genre d'outils comme SonarLint dans l'IDE et SonarQube dans le cycle de vie du projets sont indispensables et ont un retour sur investissement enorme, bien que non quantifiable sur le court terme. Ca evite des bugs, et on s'en rend pas compte immediatement, c'est plutot quand on compare des devs qui l'utilisent et ceux qui l'utilisent pas qu'on voit le gain de productivite a moyen terme.
Comme l'etait FindBugs avant, comme le sont les Linter JavaScript maintenant. Justement, c'est aussi un des points forts de Sonar* , c'est que ca sort quand meme une analyse tres riche et souvent bien meilleure qu'en utilisant plusieurs outils d'analyse de code. Il me semble que dans certains cas, Sonar* reutilise d'ailleurs des outils d'analyse existants et dans d'autre, il a ses propres analyseurs.
Je trouve que mettre SonarQube sur une grosse base de code existante, ca fait certes peur, ca intimide; mais c'est rentable. En effet, meme si au debut on sait pas quoi faire, on commence par voir un "Blocker" dans un composant un peu abandonne, qu'on va fixer immediatement si on a le moindre sens de responsabilite. Peut etre meme un 2e blocker et ensuite on regarde les "critical" plus tard et ainsi de suite. En effet, on ne s'y attele pas forcement de suite ni tout d'un coup, mais ca se fera petit a petit et ca vaut le coup pour le projet de rendre ca possible.
Pour les projets OSS, c'est aussi un bon point d'entree pour de nouveaux contributeurs en recherche de choses a contribuer. C'est pas toujours evident de trouver un bug facile pour se faire la main sur le code d'un projet. Les rapports de Sonar peuvent etre utilises pour ca. Chez Eclipse, ca marche plutot bien.

[CoderInTheDark]

J'ai oublié de poser une autre question.

Parfois je ne veux pas suivre certains conseil.
Il y a des casting, qu'il juge inutile, mais ça sert de documentation
Regrouper du code en ligne nuit un peu à la nuisibilité.
Et vous ?

[yildiz-online]

Tu peux créer différents profils pour différencier les projets existants des nouveaux, et ainsi ne pas noyer les devs avec une tonne de code smells.

[CoderInTheDark]

Tu peux créer différents profils pour différencier les projets existants des nouveaux, et ainsi ne pas noyer les devs avec une tonne de code smells.

Et tu utilises plutôt Lint ou Qube ?

[yildiz-online]

Personnellement, uniquement qube (sur https://sonarcloud.io), le linter dans l'ide devient assez lourd je trouve (j'ai un hd 5400 rpm et 4go de ram dans la VM).

Mais au boulot, pour les devs, j'ai préconisé l'utilisation dans l'ide.

[CoderInTheDark]

Personnellement, uniquement qube (sur https://sonarcloud.io), le linter dans l'ide devient assez lourd je trouve (j'ai un hd 5400 rpm et 4go de ram dans la VM).

Mais au boulot, pour les devs, j'ai préconisé l'utilisation dans l'ide.

Et au bboulot Sonar Qube e Lint en tandem ?

Quand j'ai parlé de Lint.
J'a eu droit "C'eest pas tron truc qui va m'apprendre à programmez ...."
"C'est bien beau, mais pas le temps de suivre lezs conseils,...."

[yildiz-online]

Tandem, on a un serveur avec la dernière LTS, et des profils adaptés, et les devs avec qui j'ai discuté utilisent aussi le lint.

Ce n'est pas pour apprendre à programmer, mais pour corriger les erreurs, qu'elles soient d'inattention, ou par méconnaissance de certaines bonnes pratiques, mais également pour donner un état de santé de l'application au fil du temps.

[Mickael_Istria]

J'a eu droit "C'eest pas tron truc qui va m'apprendre à programmez ...."
"C'est bien beau, mais pas le temps de suivre lezs conseils,...."

Ouah, j'aurais un collegue qui dirait ce genre de choses, il aurait le droit a un sermon!

[CoderInTheDark]

D'accord, mais je voulais mettre en avant que l'outil n'est pas toujours accepté.
Avez-vous eu des remarques, des craintes exprimées, ... ?

Par exemple, coupler le plugin lint avec le serveur sonar, pourrait donner lieu à une dérive de flicage.
C'est une crainte que l'on m'a exprimé.
Et je me demande si elle n'est pas totalement injustifiée.
Les statistiques remontent par utilisateurs.
On peut voir qui a fait le plus de corrections,...

Donc dans notre cas on avait cré qu'un utilisateur, pour tous les Lint.
Pour que toutes les remontées d'informations soit impersonnelles.

Je pense que Sonar lint pour un débutant ça peut l'aider dans son apprentissage de la programmation.

Je suis critique, quant aux conseils remontés gen général.
Souvent c'est un rappel à l'ordre, qui ressemble aux wargning.

Mais Les problèmes signalés peuvent être parfois complexes.
Je dois aller sur la fiche pour vraiment comprendre où il veut en venir.
Et je peux préférer en ignorer certain


Globalement je le vois comme un conseiller, qui me rappelle à l'ordre quand je franchis la ligne rouge.

[yildiz-online]

Pas vraiment de remarques, ni de craintes exprimées.

L'outil n'est pas utilisé pour le flicage, on ne regarde pas qui fait quoi, mais juste le statut de l'application.
Si le statut se dégrade, les erreurs seront corrigées.

Ce qui est important, c'est de s'assurer qu'on a pas de blocker avant de partir en prod, et que l'état de l'app s'améliore, même sensiblement.
Savoir qui a fait quoi est parfois nécessaire pour avoir du contexte, et ça se retrouve de toute façon dans le scm, mais surement pas pour blâmer quelqu'un, ce ne serait pas constructif.

Cette réaction me donne plutôt l'impression de vouloir cacher ses bourdes pour ne pas les corriger.

[CoderInTheDark]

J'en reviens au début.
Pensez-vous qu'il manque une faq sonar sur développez ?

[azoumed]

Bonjour à tout et à tous

j'aurai besoin de votre aide concernant un forum dédier au sonar cube à fin d'échanger les problèmes rencontrer en cour d'utilisation .


Merci

[azoumed]

J'en reviens au début.
Pensez-vous qu'il manque une faq sonar sur développez ?

je suis pour cette initiative

[CoderInTheDark]

Bonjour,

J'avais soulever la question d'un Forum/FAQ, en début de post.
Mais ça n'avait pas soulevé l'enthousiasme des membres

Moi je me suis surtout penché sur la configuration du PlugIn SonarLint pour Eclipse et comment le lier à SonarQuube
Un peu sur la configuration d'une base de données MySql pour SonarQube, pour remplacer la base en locale
Et un tout petit peu sur le lien avec Jenkin

J'ai fait beaucoup de configuration dans l'interdface web
Mais beaucoup de chose me posait des problème d'accessibilité

J'ai gardé mes notes et les fiches tutos que j'avais fait pour le projet

Cordialement

[doonfabricio]

Bonjour la communauté !
J'ai installé SonarQube (version 7.1.0) sur mon pc (ubuntu server). Lorsque je démarre, c'est OK. Mais lorsque je veux acceder via le navigateur (mozilla firefox), j'ai une erreur de connexion au serveur.
La méthode que j'utilise est la suivante : http://localhost:9000

J'ai besoin d'aide, je ne sais pas ce qu'il faut faire ensuite, d'autant plus que lorsque je regarde le status du service sonar, il est bien encours d'execution

[jipirobi]

Bonjour,

J'avais soulever la question d'un Forum/FAQ, en début de post.
Mais ça n'avait pas soulevé l'enthousiasme des membres

Cordialement

Une FAQ sur Sonar Lint (Qube) me parait être une bonne idée, je "plussoie" !

[CoderInTheDark]

Une FAQ sur Sonar Lint (Qube) me parait être une bonne idée, je "plussoie" !

Ah oui oui se serait bien

J'avais lancé l'idée, mais le post est désert.

Et il y avait même quelqu'un cet été qui à tenté de demander de l'aide, et il n'a pas eu de réponse
Je m'en veux de n'avoir pas répondu mais moi je ne connais pas grand chose à l'installation.
Et s'il on vient ici c'est peut être aussi que ce sujet manque sur développez

Car mon expérience, avec sonar à consisté à utilisé un Sonar configuré en partie avec le projet.
J'ai fait des ajustement et je l'ai couplé avec SonarLint sous Eclipse

Là je vais me coller sur l'installation sous windows par curiosité
Et aussi sous Linux sous Debian.
Je vais en profiter pour me faire des fiches

A ce propos je devrais mieux prendre la lts ou la dernière version ?

[yildiz-online]

Ah oui oui se serait bien

J'avais lancé l'idée, mais le post est désert.

Ayant une bonne connaissance du produit, je me ferais un plaisir de répondre aux questions, mais il faut les questions pour ça, sinon c'est un tuto, pas une FAQ.

Et il y avait même quelqu'un cet été qui à tenté de demander de l'aide, et il n'a pas eu de réponse

Pour ma part, quand je vois une demande d'aide avec comme seule description "j'ai une erreur de connexion au serveur.", sans aucun log ni quoi que ce soit, je zappe, et je présume que je ne suis pas le seul.

Là je vais me coller sur l'installation sous windows par curiosité
Et aussi sous Linux sous Debian.

Je te conseille de l'installer sous docker, c'est rapide, et avec un compose tu as la DB en prime.
Sinon si tes projets sont opensource, https://sonarcloud.io est encore mieux.

A ce propos je devrais mieux prendre la lts ou la dernière version ?

Si c'est pour une utilisation personnelle, la dernière, en entreprise on préférera la LTS (bien qu'avec une install docker, je ne serais plus aussi catégorique, mais ça dépend de la criticalité de l'outil dans le workflow).

[CoderInTheDark]

Je te conseille de l'installer sous docker, c'est rapide, et avec un compose tu as la DB en prime.
Sinon si tes projets sont opensource, https://sonarcloud.io est encore mieux.
***
C'est stupide mais je n'ai jamais utilisé docker.
Je me suis informé sur le sujet.
Mais je n'ai pas encore sauté le pas
Car en entreprise quant on l'utilisait on s'en chargeait pour moi

La configuration et l'installation souvent me gonfle, penses tu que docker peux me faciliter la vie ?

Et surtout je ne sais pas si docker est accessible aux outils d'accessibilité (lecteur d'écrans).

Le moins accessible c'est la virtualisation, car on a pas un focus direct, c'est une image ou une vidéo au final pour le lecteur d'écran.
Avec la virtualisation je dois installer un autre lecteur d'écran dans l'image
Et je dois les couper alternativement.
Ou si j'ai de la chance je peux utiliser un plug in pour piloter mon deuxième lecteur d'écran dans l'image depuis le système hôte.
Mais la configuration parfois pose tellement de problème que je préfère couper alternativement un lecteur d'écrans

Docker se présente t-il sous forme d'une console avec un vrai focus?
Si oui ce cas ça peut être accessible, la ligne de commande c'est pratique pour moi

Je devrais essayer un cas d'utilisation simple pour tester l''accessibilité de docker, un truc que je pourrai virer facilement
Mais si j'ai bien compris docker, ça permet d'installer et de supprimer facilement

Par contre je vais quand même me faire l'installation à l'ancienne de Sonar dans un premier temps

Si c'est pour une utilisation personnelle, la dernière, en entreprise on préférera la LTS (bien qu'avec une install docker, je ne serais plus aussi catégorique, mais ça dépend de la criticalité de l'outil dans le workflow).[/QUOTE]
****
C'est perso, car lors de ma dernière mission j'ai eu une expérience pénible avec le serveur, car l'accessibilité était poussive, je veux en profiter pour râller et proposer un mini audit d'accessibilité à Sonar de leur interface web
J'ai pu compenser en utilisant Sonar Lint, mais il y a des trucs qui m'ont manqué de la version serveur

Peut-on monté facilement de version de Sonar Qube ?
Et sans perdre ses données ?