Sonarqube 误报“使用 try-with-resources 或在“finally”子句中关闭此“ResultSet””

Question

Sonarqube 一直在用这个问题标记代码，在我看来，这是一个误报。 代码如下所示：

try(PreparedStatement st=con.prepareStatement(myQuery)){
    st.setInt(1, myValue);
    ...
    ResultSet rs = st.executeQuery();
    ...
}

如果我没记错的话，PreparedStatement 实现了 Closeable，并且在关闭自身时，它也会关闭底层的 ResultSet。

这种行为会阻止 ResultSet 保持打开状态，但 Sonarqube 分析会将其标记为严重错误。

我错了吗？ 在这种情况下有什么方法可以让 Sonarqube 忽略此规则？

在 Sonarqube 6.7.3 和 JDK 8 下测试。

来自ResultSetjavadoc：

当生成它的 Statement 对象关闭、重新执行或用于从多个结果序列中检索下一个结果时，ResultSet 对象会自动关闭。

Answer 1

确实这是一个误报。已经举报了，有修复的票https://jira.sonarsource.com/browse/SONARJAVA-2060

您可以在 SonarQube UI 中将问题标记为误报，或在引发问题的行添加 // NOSONAR 注释以忽略它。

Answer 2

期望代码分析器知道这些事情可能是不合理的。一个工具是否可以随时随地了解所有库中所有 Closeable 的所有附加语义？

文档确实提到“当前的 ResultSet，如果有的话，也关闭了”。

注意“当前”。如果碰巧有两个不同的 executeQuery() 调用会发生什么？它会因状态不佳或类似情况而失败吗？是否会有两个不同的 ResultSet 对象，都未关闭，其中一个现在未引用？

（注意：两个不同的 executeQuery() 调用可能听起来完全疯狂，但请记住“编码人员可以做任何事情”，这就是为什么使用此类工具的 原因因为 SonarQube 是首先编写的。）

我并不是说这完全没有争议，但对我来说，如果分析工具只是看到你得到了一个 Closeable 而没有关闭它，只是简单地抱怨它，这似乎并不奇怪。

Answer 3

Sonarqube 团队最终解决了这个问题，从 6.7 版本开始。

Answer 4

pom.xml 文件中没有属性文件或任何配置

请看一下这个documentation，你可以在你的项目根目录中创建sonar-project.properties文件，设置很多不同的属性，这些属性会影响你的分析。其中之一是sonar.java.source，它允许您创建特定的 java 版本。 (details)

任何使 Sonarqube 忽略此规则的方式 情况？

我遇到过 sonarqube 引擎将代码块标记为问题的情况，但从开发人员的角度来看并非如此，因此在这种情况下，可以将其标记为误报。要设置允许/禁止在特定文件上标记问题的规则，请参阅此 sonarqube documentation。