Faire sa propre autocritique, cela peut paraître un peu « soviétique » ; et analyser à la main le code d’un site web n’est pas une partie de plaisir. Ayez donc confiance en Microsoft, qui propose un outil de linting open source. Aussi bien sous forme de programme à exécuter en local que de service en ligne.
Avec Modern.IE, Microsoft introduisait en 2013 un outil de linting. Concrètement, il s’agissait d’effectuer d’une revue statique du code d’un site web, « pour détecter les optimisations pour les anciennes versions d’Internet Explorer, les bibliothèques obsolètes, les préfixes manquants, etc. ». Depuis, le Web a changé « et il est temps de mettre à jour notre outil », explique Microsoft dans une publication.
Voici donc Sonar. Le principe reste inchangé : analyser le code d’un site de sorte à y déceler les erreurs de programmation. Mais on quitte le champ du scan statique au profit d’une exécution de code, avec un ensemble de règles plus flexibles et modernisées ou encore la possibilité de mener plusieurs tests en parallèle. En outre, des services tiers y sont intégrés, de l’examen de l’implémentation du SSL avec SSL Labs, des tests automatisés d’accessibilité de l’UI avec aXe Core ou encore la chasse aux vulnérabilités avec snyk.io. « Le développement web va bien au-delà des HTML, JavaScript et CSS : les développeurs attendent une bonne compréhension de l’accessibilité, des performances, de la sécurité, des normes émergentes, etc., tout en rafraîchissant les connaissances régulièrement à mesure que le Web évolue », analyse Microsoft.
Local et SaaS
Sonar est un programme open source disponible sous deux formes. L’une consiste en un utilitaire de lignes de commande à intégrer au workflow de développement web en local, l’autre se présente comme un service en ligne (disponible à cette adresse : https://sonarwhal.com/ scanner) capable de scanner n’importe quel site sur le Web. Attention, celui-ci est pour le moment quelque peu surchargé. Mais une fois l’analyse effectuée, Nelly le narval – la personnification de Sonar – pointe non seulement les problèmes mais « plutôt que de simplement dire aux développeurs ce qui n’allait pas, elle dit aussi pourquoi ». Et produit donc un rapport détaillé. Le projet, open source, a été confié par Microsoft à la JS Foundation cet été afin que la communauté puisse y participer activement. Dans le futur, Microsoft compte ajouter des options de configuration pour Sonar en mode SaaS ainsi que le proposer sous forme de plugin pour Visual Studio. ❍
Article paru dans L'Informaticien n°163.