利用Sonar定制自定义JS扫描规则(二)——自定义JS扫描规则

在上一篇blog中,我们将sonar几个需要的环境都搭建好了,包括sonar的服务器,sonar runner,sonar的javascript插件。现在我们就来讲如何自定义JS扫描规则。

实际上有3种方法可以自定义代码的校验规则:

  • 直接在sonar的web接口中增加XPath规则;
  • 通过插件的功能来增加自定义规则,比如checkstyle,pmd等插件是允许自定义规则的;
  • 通过新增一个代码分析器来实现自定义规则;

sonar官方推荐的方式是使用最简单的XPath方式来增加自定义规则,如果语言太复杂或者XPath无法查询其结构的,再使用自定义插件的方式,所以我们这里重点介绍的是使用XPath的方式。

使用XPath增加自定义JS规则

sonar为大部分流行的语言(C, C#, C++, Cobol, Flex, JavaScript, PL/I, PL/SQL, Python and VB.NET)提供了一个简洁的方式来增加代码规则。这些新增规则必须使用XPath来实现,这样的话语言的每一部分都可以映射到Abstract Syntax Tree(AST)。对于每一种语言,SSLR Toolkit 工具提供了代码转AST的功能,该工具具体的使用在下面会介绍,这里是SSLR Javascript Toolkit工具的下载。如果对XPath不熟悉,可以参考这里看一下例子http://www.w3schools.com/xpath/
1、首先使用管理员的角色登录sonar,然后去到Settings > Quality Profile页面,选择Js规则(如下图所示)。

2、接着在Coding rules页面输入查询条件,找到XPath规则:

3、查询结果出来后,点击Copy rule连接来新增规则:

4、按照XPath的语法编写自己的规则:

如果对XPath不熟悉,建议先学习一些XPath的语法,下面给出3个javascript xpath的规则:

不要使用document.write:
1
//callExpression/memberExpression[count(*) = 3 and primaryExpression[@tokenValue = "document"] and identifierName[@tokenValue = "write"]]
if/else语句后面必须接大括号:
1
//ifStatement/statement[not(block)]
本地变量名以XX开头:
1
//functionBody//variableDeclaration/IDENTIFIER[not(starts-with(@tokenValue,'zzm'))]

5、创建好规则之后,把规则设置为active,将规则的级别调高一些就会自动变为active,然后重新跑一下规则分析,这样新增的规则就生效了。

Comments