Tilstandsvurdering af systemet - Vitas

Den producerede kode analyseres via kodekvalitetsværktøj fra Sonar Cloud. STAR har indtil 2024 benyttet SIG scoren med en anden rating, og er derfor ikke sammenlignelig med Sonar Cloud:



Security rating E (Security rating E when there is at least one high impact issue):

Security issues er steder, hvor der er potentiale for at en ondsindet bruger kan få uønsket adfærd til at ske.

STAR har på VITAS har 3 high-impact security issues, som alle blev lavet for 2 måneder siden (februar 2024). Alle 3 issues er den samme fejl flere steder i samme fil, så hvis man løser én, kan samme løsning anvendes på de 2 andre high-impact issues.

De 3 high-impact issues er alle relateret til, at en bruger kan få mulighed for at have kontrol over, hvilken side de selv skal videresendes til. Det er derfor kun noget der vil ramme den ondsindede bruger, og vil ikke kunne have effekt for andre end vedkommende selv.



Reliability rating E (Security rating E when there is at least one high impact issue):

Reliability dækker over, hvor ”bug fri” VITAS kode er. Her angiver Sonar Cloud, at der er 27 high-severity reliability issues.

Alle ovenstående reliability issues er nogle der max tager 5 minutter at rette op på, og er derfor nogle ”simple” bugs.



Maintainability

Her er der en A-rating, da VITAS tekniske gæld ratio er mindre end 5% (ifølge værktøjet).
Den måler teknisk gæld ud fra om kode er redundant eller kan skrives på pænere måde, men stadig udføre det samme. Det kan også være at STAR mangler at teste for en bestemt type fejl i STARS automatiserede kode-tests.

Den lister 11.000 high-severity Maintainability issues, men dykker man ned i fejlene, ligner det at 90% af dem kommer fra filer, som STAR ikke selv har oprettet, men fra biblioteker (tænk: jQuery, tema filer, Angular mm.)



Coverage

Dette dækker over, hvor meget kode, der er dækket af kode-tests. Den nævner 0% code coverage. Dette burde ikke være tilfældet, da der findes tests i kodebasen. Dette er også tilfældet i andre kodebaser, og burde blive undersøgt.



Duplications

Angiver hvor mange linjer der er duplikeret i samme fil. Denne er meget høj pga. der altid vil findes meget duplikeret kode i biblioteksfiler (tænk: jQuery, tema filer, Angular mm.)



Security Hotspots

Security hotspots er Sonar Clouds’ måde at bede os at tage stilling til områder, hvor der kan være potentielle risici, som STAR kan acceptere eller nægte, da de ikke altid udviser en sikkerhedsrisiko.



Opfølgende tiltag:

STAR ønsker kun at arbejde med de mest kritiske issues, idet STAR er igang med en modernisering af VITAS, hvor store dele af den "gamle kodebase" (med de gamle ordninger), RESTificeres og flyttes til nyt virksomhedsdomæne. STAR ønsker på sigt, at den moderniserede kodebase undgår at duplikere kode mv.

Der er en række easy-wins, såfremt STAR prioritere at fokusere på VITAS Classic kode (med brug af WWF, SOAP, WRSM osv):, idet STAR  relativt hurtigt kan få et meget mere realistisk estimat på, hvor meget duplikeret kode der er, hvis udviklingsteamet "får" fortalt SonarCloud, at der er nogle filer, Sonar Cloud gerne må ignorere og derfor ikke analysere. Dette gælder også for Maintainability målingen.

Med begrænset indsats kan udviklingsteamet få fjernet alle de Security issues SonarCloud nævner (17 styks). Det samme gælder for de andre målinger, hvor det er en lille opgave at få fjernet de værste syndere så ratingen skulle blive en del pænere.. Såfremt dette prioriteres, vil der blot  være én high-impact issue som får ratingen til at se kritisk ud. Fjernes denne , så vil ratingen straks stige. Endelig bør udviklingssteamet også vurdere, hvorfor Coverage målingen melder 0%, når man ved at der er kode-tests tilstede.