SonarQube 代码质量检查工具
官网对于SonarQube的描述
-
15种语言的静态代码分析
Java、JavaScript、C#、TypeScript、Kotlin、Ruby、Go、Scala、Flex、Python、PHP、HTML、CSS、XML和VB.NET
检测缺陷和漏洞
查看安全热点
跟踪代码气味和修复你的技术债务
代码质量度量和历史记录
CI/CD集成
可扩展,有50个社区插件
官方网站
https://docs.sonarqube.org/latest/
由于 7.8以后的版本需要JDK11的支持,如果用的是JDK8请选择 6.x~7.8.x中间的版本
内存要求,至少2G
支持的数据库
其他详细的配置,请参与官网的配置说明
https://docs.sonarqube.org/7.9/requirements/requirements/
首页到最下方,可以选择不同版本进行下载
比如,我用的JDK8,这里选择7.8版本的 Community 版本,其他版本是收费的,下载好之后,解压缩并进入到对应的操作系统目录下,例如我这里用的是ubuntu,因此,切换到Linux目录下
/sonarqube-7.8/bin/linux-x86-64
## 启动
sh sonar.sh start
## 查看启动日志
tail -200f ../../logs/sonar.log
## 看到以下日志时,表示启动成功
2021.01.09 22:33:03 INFO app[][o.s.a.SchedulerImpl] Process[ce] is up
2021.01.09 22:33:03 INFO app[][o.s.a.SchedulerImpl] SonarQube is up
访问SonarQube
SonarQube默认的端口号是9000:
http://localhost:9000
默认账号密码都是admin
登入系统之后的界面,这里需要注意的是,默认SonarQube用的是内嵌数据库,这种数据库是不用用于生产的,因此,下方会有一段黄色的提示信息。
应用到项目(整合到MAVEN)
方法一: 全局配置
在maven的setting.xml配置文件中添加 .例子
<settings>
<pluginGroups>
<pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
</pluginGroups>
<profiles>
<profile>
<id>sonar</id>
<activation>
<activeByDefault>true</activeByDefault>
</activation>
<properties>
<!-- Optional URL to server. Default value is http://localhost:9000 -->
<sonar.host.url>
http://myserver:9000
</sonar.host.url>
</properties>
</profile>
</profiles>
</settings>
这里使用的是没有配置数据库的例子,如果需要添加数据库,则需要在<properties></properties>下添加关于数据库的配置,例子:
<properties>
<sonar.jdbc.url>jdbc:postgresql://localhost/sonar?currentSchema=public</sonar.jdbc.url>
<sonar.jdbc.driver>org.postgresql.Driver</sonar.jdbc.driver>
<sonar.jdbc.username>itmuch</sonar.jdbc.username>
<sonar.jdbc.password>itmuch</sonar.jdbc.password>
<sonar.host.url>http://127.0.0.1:9000</sonar.host.url>
</properties>
接着,在需要分析的项目中执行
clean verify sonar:sonar -Dmaven.test.skip=true
接着点击All就可以看到对刚才项目的分析了
SonarQube还提供了强大的插件库,在解决项目分析出来的问题之前,我先安装一个中文包
在Administration下,选择 Marketplace选项,在Plugins一栏中输入 chines找到中文包,点击install,这个安装会稍微慢一些,耐心等待即可。
在安装过程中,插件商店默认对应的是最新的SonarQube,因此会有版本不匹配的问题,这里我们可以去SonarQube的github找寻对应的版本
https://github.com/xuhuisheng/sonar-l10n-zh/releases
比如我这里的SonarQube是7.8版本就使用这个版本对应的插件包
下载好之后,将插件包复制到 SonarQube的以下 目录
scp sonar-l10n-zh-plugin-1.28.jar frend@192.168.0.202:/home/frend/dev/tools/sonarqube-7.8/extensions/plugins
重启SonarQube
修复bug、漏洞
执行分析语句之后,会将我们执行的项目中的、bug、漏洞、以及不优雅的地方展示展示出来,这里以上图为例
点击查看规则,会有一个示例
大致意思就是创建之后的状态值,我们需要判断是否创建成功,其中的例子也是很明显能看出来的
这里将提示漏洞的地方,修改一下
if (!file.exists()) {
if (!file.createNewFile()) {
log.error("创建文件={},时不成功", file.getName());
}
}
重新执行分析
mvn clean verify sonar:sonar -Dmaven.test.skip=true
漏洞就没了,剩下的不优雅的地方[异味]和安全热点,,兄弟们,等我慢慢修复
参考官网的教程
https://docs.sonarqube.org/7.8/analysis/scan/sonarscanner-for-maven/
中文插件包安装参考教程
https://blog.csdn.net/xinluke/article/details/52174026
方法二: 使用基于Token的命令行控制
SonarQube还有一个使用命令行控制的方式,事先需要先创建一个用户Token
在右上角,点击用户图标,选择我的账号
在令牌栏输入令牌名称,点击生成,此时,记住这个token
使用以下命令,携带token,就可以进行分析了,此时,不需要maven下的setting.xml的配置了,为了验证,我们先将setting.xml中的步骤一配置注释掉
mvn sonar:sonar -Dsonar.host.url=http://192.168.0.202:9000 -Dsonar.login=37ad464c14b9bebc19cc606ec6ae85e0ffb7f379 -Dmaven.test.skip=true
至此: SonarQube简单的使用就结束了,下方参考文章中有更多玩法,有兴趣的朋友可以多了解了解,祝大家变得更强~
参考文章:
https://blog.csdn.net/wym2011aaj/article/details/98055438
https://docs.sonarqube.org/7.8/analysis/scan/sonarscanner-for-maven/
https://blog.csdn.net/xinluke/article/details/52174026
https://blog.csdn.net/weixin_40861707/article/details/82117232
