Statische Codeanalyse: Qodana prüft Code auf dem Weg in die CI-Pipeline
Nach Abschluss der Preview-Phase gibt JetBrains das an die hauseigenen IDEs angepasste Codeanalyse-Tool Qodana für den generellen Einsatz in Produktion frei.
(Bild: Gorodenkoff/Shutterstock.com)
Toolhersteller JetBrains hat Qodana 2023.2 veröffentlicht. An der Schnittstelle zwischen den JetBrains-Entwicklungsumgebungen und Continuous-Integration-(CI)-Pipelines verspricht die erste offiziell stabile Version des Werkzeugs zur statischen Codeanalyse nicht nur erweiterte Code Coverage und einen Schwachstellenscanner für externe Pakete, sondern auch eine einfachere Konfiguration.
Statische Codeanalyse einfacher konfigurieren
Entwicklerinnen und Entwicklern stand Qodana bereits seit seiner Einführung 2021 im Rahmen eines Early Access Programs (EAP) zur Verfügung, um Bugs, Sicherheitslücken, Duplikate oder andere Mängel im Sourcecode aufzuspüren und beseitigen zu können. Das Tool ist einerseits eng in die gängigsten JetBrains-IDEs wie IntelliJ IDEA, WebStorm, PhpStorm, PyCharm, Rider und GoLand integriert, lässt sich darüber hinaus aber ebenso an die meisten CI/CD-Systeme anpassen. Laut Ankündigung soll Qodana 2023.2 insbesondere die für statische Analysetools typischerweise komplizierte Konfiguration nun deutlich einfacher gestalten.
Ausgehend von den 2023.2er-Versionen der IDEs lässt sich Qodana demnach zunächst für die lokale Codeanalyse einrichten, um einen Überblick der Probleme im untersuchten Projekt zu erhalten. Anschließend können Entwicklerinnen und Entwickler die Verbindung zur CI-Pipeline aufbauen, um das Qualitätssicherungssystem einzurichten und die serverseitigen Prüfungen durchzuführen.
(Bild: JetBrains)
Code Coverage und Schwachstellenprüfung
Beim Überprüfen von Code, der in den Programmiersprachen Java, Kotlin, PHP, JavaScript und TypeScript verfasst wurde, zeigt die neue Qodana-Version jeweils den Grad der Codeabdeckung an, sodass leichter ersichtlich wird, welche Teile des Codes weitere Tests benötigen. Entwicklerinnen und Entwickler sind dadurch in der Lage, die Qualität der Tests einzuschätzen.
Zum Aufspüren von Schwachstellen in externen Packages zieht Qodana 2023.2 den Vulnerability Checker aus IntelliJ IDEA heran, der nun standardmäßig mit im Bundle enthalten ist. Das Tool nutzt die von der Sicherheitsfirma Checkmarx bereitgestellten Daten und liefert darüber hinaus erste Hinweise für Abhilfemaßnahmen, falls betroffene Packages identifiziert wurden.
Eine Zusammenfassung der wichtigsten Neuerungen in Qodana 2023.2 findet sich im Blogbeitrag zur Freigabe der aktuellen Version. Einen vollständigen Überblick liefern die Release Notes. Qodana ist in einer kostenfreien Community-Edition mit eingeschränktem Funktionsumfang verfügbar. Details zu den kommerziellen Versionen können Interessierte auf der Qodana-Website einsehen.
(map)