为 SonarQube 4.5 编写自定义检查的正确方法是什么

Question

目前编写 SonarQube 4.5 检查的最佳方法是：

1. 字节码分析
2. 来源分析

不幸的是，我找不到提供明确解释的最新网页，并且我看到现有检查使用许多已弃用的类和方法，使用即将被放弃的“桥梁”，检查定期从代码库（例如 XPath 规则）。

我想确保我即将开出的支票写得好且经久耐用。

所以……

• 我应该使用BytecodeVisitor 来分析字节码吗？
• 我应该使用BaseTreeVisitor 来分析源代码吗？
• org.sonar.api.rules.RuleRepository 的替代品是什么？
• org.sonar.api.resources.Java 的替代品是什么？
• org.sonar.api.rules.AnnotationRuleParser 的替代品是什么？
• 如何编写类似 XPath 的规则（BaseTreeVisitor 正在使用 SSLR，如果我没记错的话，SonarQube 正在远离 SSLR / AbstractXPathCheck 是 sslr squid bridge 的一部分。）
• 我还应该知道什么？

换句话说，我有点迷路了。

提前感谢您的帮助。

Answer 1

首先感谢您的反馈， 您的问题实际上有很多问题（原文如此）：

到目前为止，为 Java 编写自定义检查的方法是使用 BaseTreeVisitor。所有其他方式现在都已弃用，我们正在努力将它们删除（但这并不总是那么简单，因为其中一些需要完整的语义分析才能删除）。这个 api 目前缺少的是访问语义分析以便能够请求从字节码读取的类型信息。 你可以看看这个项目：https://github.com/SonarSource/sonar-examples/tree/master/plugins/java-custom-rules

对于所有其他问题，请在邮件列表中提出。

（小注意：BaseTreeVisitor 不直接使用 SSLR，java 插件并没有从 SSLR 转移，而是从一个类，特别是 ASTNode，以便在具有特定于每种节点类型的类的 SyntaxTree 上工作, Xpath 检查的下降发生在远离非类型化 SyntaxTree 的逻辑中。