一,SonarQube 平台搭建
1.1, 介绍
Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具、代码分析工具,以及持续集成工具。与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。
- SonarQube(分析器):SonarQube是Sonar生态系统的核心组件,是一个开源的代码质量管理平台。
1.2, sonarqube 技术架构
1.3,Windows环境下载
- 下载地址: Code Quality Tool & Secure Analysis with SonarQube
- 参考文档: 如何使用Sonar进行静态扫描(Windows系统)_sonaer扫描(1)_sonarscanner-CSDN博客
1.4, Linux环境部署
-
(1)创建容器网络 :
docker network create sonarqube -
(2)创建数据库容器实例 :
docker run -d --name sonarqube_postgres --network sonarqube -e POSTGRES_USER=sonarqube -e POSTGRES_PASSWORD=sonarqube -e PGDATA=/var/lib/postgresql/data/pgdata -v $PWD/postgresql_data:/var/lib/postgresql/data postgres
- (3)创建sonarqube容器实例,可以通过-Xms4g -Xmx4g增加下ES的堆内存大小
- mac环境需要加 -e SONAR_SEARCH_JAVAADDITIONALOPTS=“-Dbootstrap.system_call_filter=false”
docker run -d --name sonarqube_hogwarts -p 9000:9000 -p 9092:9092 --network sonarqube -e SONARQUBE_JDBC_USERNAME=sonarqube -e SONARQUBE_JDBC_PASSWORD=sonarqube -e SONARQUBE_JDBC_URL="jdbc:postgresql://sonarqube_postgres/sonarqube" -e SONAR_SEARCH_JAVAADDITIONALOPTS="-Xms2g -Xmx2g" -e SONARQUBE_WEB_JVM_OPTS="-Xms1g -Xmx1g" -v $PWD/sonarqube_data:/opt/sonarqube/data -v $PWD/sonarqube_extensions:/opt/sonarqube/extensions -v $PWD/sonarqube_logs:/opt/sonarqube/logs sonarqube
- (4)个别平台存在的 CONFIG_SECCOMP_FILTER 问题,解决方法如下:
docker run -d --name sonarqube_hogwarts --platform linux/x86_64 -p 9000:9000 -p 9092:9092 --network sonarqube --user $(id -u):$(id -g) -e SONARQUBE_JDBC_USERNAME=sonarqube -e SONARQUBE_JDBC_PASSWORD=sonarqube -e SONARQUBE_JDBC_URL="jdbc:postgresql://sonarqube_postgres/sonarqube" -e SONAR_SEARCH_JAVAADDITIONALOPTS="-Dbootstrap.system_call_filter=false -Xms2g -Xmx2g" -e SONARQUBE_WEB_JVM_OPTS="-Xms2g -Xmx2g" --ulimit nofile=524288:524288 -v $PWD/sonarqube_data:/opt/sonarqube/data -v $PWD/sonarqube_extensions:/opt/sonarqube/extensions -v $PWD/sonarqube_logs:/opt/sonarqube/logs sonarqube
-
(5)打开登陆页面
- 地址:
http://127.0.0.1:9000/ - 默认账号密码: admin/admin
- 地址:
-
(6)环境配置
-
划分组与用户
-
生成 token
-
环境变量设置
- 为了方便命令复用,后面命令中可变内容使用环境变量来表示 $SQ_HOST
- 为了方便命令复用,后面命令中可变内容使用环境变量来表示 $SQ_HOST
-
SQ_HOST=http://127.0.0.1:9000
SQ_TOKEN=你自己sonarqube环境的TOKEN
SQ_HOST=https://sonarqube.stuq.ceshiren.com
SQ_TOKEN=a22c79622b232ffb002053a06b5cb3140da87b41
二,SonarScanner 使用
2.1 工具下载
-
SonarScanner(扫描器):用于将代码提交到SnaorQube进行分析的工具。
-
下载成功后,检查是否配置成功
-
sonar-scanner -h
-
2.2 SonarScanner 使用示例
CI&CD夺命十三剑9-Sonar Scanner使用配置&SonarQube项目命令行接入-腾讯云开发者社区-腾讯云 (tencent.com)
三, sonarqube maven 项目分析
3.1 maven 全局配置
<settings>
<pluginGroups>
<pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
</pluginGroups>
<profiles>
<profile>
<id>sonar</id>
<activation>
<activeByDefault>true</activeByDefault>
</activation>
<properties>
<!-- Optional URL to server. Default value is http://localhost:9000 -->
<sonar.host.url>
http://myserver:9000
</sonar.host.url>
</properties>
</profile>
</profiles>
</settings>
3.2 使用特定版本 scanner maven 插件
mvn sonar:sonar
mvn org.sonarsource.scanner.maven:sonar-maven-plugin:3.7.0.1746:sonar
mvn org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar
3.3 代码分析基本命令
#编译后直接分析
mvn clean compile sonar:sonar
#执行单元测试后分析,用于收集单元测试与单测覆盖率
mvn clean test sonar:sonar
#执行集成测试后分析,用于收集集成测试与集成测试覆盖率
mvn clean verify sonar:sonar
3.4 maven 单模块项目代码分析
- 使用命令:
cd maven-basic
mvn clean verify \
org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
-Dsonar.host.url=$SQ_HOST \
-Dsonar.login=$SQ_TOKEN
3.5 maven 多模块项目代码分析
- 使用命令:
cd maven-multimodule
mvn clean verify \
org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
-Dsonar.host.url=$SQ_HOST \
-Dsonar.login=$SQ_TOKEN
3.6 sonarqube 多语言代码分析
- 使用命令:
cd maven-multilingual
mvn clean verify \
org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
-Dsonar.host.url=$SQ_HOST \
-Dsonar.login=$SQ_TOKEN
3.7 spring boot 项目代码分析
- 使用命令:
mvn clean compile \
org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
-Dsonar.host.url=$SQ_HOST \
-Dsonar.login=$SQ_TOKEN
3.8 电商项目代码分析
- 使用命令:
mvn clean verify \
org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
-Dsonar.host.url=$SQ_HOST \
-Dsonar.login=$SQ_TOKEN
四, sonarqube gradle项目代码分析
4.1 插件与配置
# build.gradle文件
plugins {
id "jacoco"
id "java"
id "application"
id "org.sonarqube" version "3.3" //version号需要替换成最新的版本号
}
sonarqube {
properties {
property "sonar.host.url", "https://sonarqube.hogwarts.ceshiren.com"
property "sonar.login", "TOKEN"
property "sonar.sourceEncoding", "UTF-8"
}
}
# gradle.properties文件(优先配置上面的文件)
systemProp.sonar.host.url=http://localhost:9000
4.2 gradle代码分析命令
#多任务执行
./gradlew clean assemble sonarqube -Dsonar.host.url=$SQ_HOST -Dsonar.login=$SQ_TOKEN
#也可单独执行
gradle sonarqube -Dsonar.host.url=$SQ_HOST -Dsonar.login=$SQ_TOKEN
#构建程序并执行测试
./gradlew clean build sonarqube -Dsonar.host.url=$SQ_HOST -Dsonar.login=$SQ_TOKEN
#结合覆盖率的代码分析
cd gradle-nultimodule-coverage (进入该项目路径)
./gradlew clean build codeCoverageReport sonarqube -Dsonar.host.url=$SQ_HOST -Dsonar.login=$SQ_TOKEN
五, sonarqube api使用
5.1 价值
5.2 体系
- 官网api文档: Web API - SonarQube
5.3 项目徽章 - 质量门禁
页面展示
接口调用
5.4 项目指标徽章
页面展示
接口调用代码展示
5.5 自定义规则
- 可以针对质量门禁等指标进行自定义规则,然后在Rules处修改或者添加自定义的规则
