SonarQube代码检查工具-2021-01-10

SonarQube 代码质量检查工具

官网对于SonarQube的描述

  • 15种语言的静态代码分析

    Java、JavaScript、C#、TypeScript、Kotlin、Ruby、Go、Scala、Flex、Python、PHP、HTML、CSS、XML和VB.NET

  • 检测缺陷和漏洞

  • 查看安全热点

  • 跟踪代码气味和修复你的技术债务

  • 代码质量度量和历史记录

  • CI/CD集成

  • 可扩展,有50个社区插件

官方网站

https://docs.sonarqube.org/latest/

由于 7.8以后的版本需要JDK11的支持,如果用的是JDK8请选择 6.x~7.8.x中间的版本

内存要求,至少2G

支持的数据库

SonarQube-database.png

其他详细的配置,请参与官网的配置说明

https://docs.sonarqube.org/7.9/requirements/requirements/

首页到最下方,可以选择不同版本进行下载

image-20210109222726066.png

比如,我用的JDK8,这里选择7.8版本的 Community 版本,其他版本是收费的,下载好之后,解压缩并进入到对应的操作系统目录下,例如我这里用的是ubuntu,因此,切换到Linux目录下

/sonarqube-7.8/bin/linux-x86-64
## 启动
sh sonar.sh start
## 查看启动日志
tail -200f ../../logs/sonar.log
## 看到以下日志时,表示启动成功
2021.01.09 22:33:03 INFO  app[][o.s.a.SchedulerImpl] Process[ce] is up
2021.01.09 22:33:03 INFO  app[][o.s.a.SchedulerImpl] SonarQube is up

访问SonarQube

SonarQube默认的端口号是9000:

http://localhost:9000
image-20210109223541144.png

默认账号密码都是admin

image-20210109223615838.png

登入系统之后的界面,这里需要注意的是,默认SonarQube用的是内嵌数据库,这种数据库是不用用于生产的,因此,下方会有一段黄色的提示信息。

应用到项目(整合到MAVEN)

方法一: 全局配置

在maven的setting.xml配置文件中添加 .例子

<settings>
    <pluginGroups>
        <pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
    </pluginGroups>
    <profiles>
        <profile>
            <id>sonar</id>
            <activation>
                <activeByDefault>true</activeByDefault>
            </activation>
            <properties>
                <!-- Optional URL to server. Default value is http://localhost:9000 -->
                <sonar.host.url>
                  http://myserver:9000
                </sonar.host.url>
            </properties>
        </profile>
     </profiles>
</settings>

这里使用的是没有配置数据库的例子,如果需要添加数据库,则需要在<properties></properties>下添加关于数据库的配置,例子:

<properties>
    <sonar.jdbc.url>jdbc:postgresql://localhost/sonar?currentSchema=public</sonar.jdbc.url>
    <sonar.jdbc.driver>org.postgresql.Driver</sonar.jdbc.driver>
    <sonar.jdbc.username>itmuch</sonar.jdbc.username>
    <sonar.jdbc.password>itmuch</sonar.jdbc.password>
    <sonar.host.url>http://127.0.0.1:9000</sonar.host.url>
</properties>

接着,在需要分析的项目中执行

 clean verify sonar:sonar -Dmaven.test.skip=true

接着点击All就可以看到对刚才项目的分析了

image-20210110113431549.png

SonarQube还提供了强大的插件库,在解决项目分析出来的问题之前,我先安装一个中文包

image-20210110113731869.png

在Administration下,选择 Marketplace选项,在Plugins一栏中输入 chines找到中文包,点击install,这个安装会稍微慢一些,耐心等待即可。

在安装过程中,插件商店默认对应的是最新的SonarQube,因此会有版本不匹配的问题,这里我们可以去SonarQube的github找寻对应的版本

https://github.com/xuhuisheng/sonar-l10n-zh/releases

比如我这里的SonarQube是7.8版本就使用这个版本对应的插件包

image-20210110114249435.png

下载好之后,将插件包复制到 SonarQube的以下 目录

scp sonar-l10n-zh-plugin-1.28.jar frend@192.168.0.202:/home/frend/dev/tools/sonarqube-7.8/extensions/plugins

重启SonarQube

修复bug、漏洞

image-20210110121506217.png

执行分析语句之后,会将我们执行的项目中的、bug、漏洞、以及不优雅的地方展示展示出来,这里以上图为例

点击查看规则,会有一个示例

image-20210110121721537.png

大致意思就是创建之后的状态值,我们需要判断是否创建成功,其中的例子也是很明显能看出来的

这里将提示漏洞的地方,修改一下

if (!file.exists()) {
    if (!file.createNewFile()) {
        log.error("创建文件={},时不成功", file.getName());
    }
}       

重新执行分析

mvn clean verify sonar:sonar -Dmaven.test.skip=true
image-20210110122202978.png

漏洞就没了,剩下的不优雅的地方[异味]和安全热点,,兄弟们,等我慢慢修复

biaoqingbao.jpg

参考官网的教程

https://docs.sonarqube.org/7.8/analysis/scan/sonarscanner-for-maven/

中文插件包安装参考教程

https://blog.csdn.net/xinluke/article/details/52174026

方法二: 使用基于Token的命令行控制

SonarQube还有一个使用命令行控制的方式,事先需要先创建一个用户Token

在右上角,点击用户图标,选择我的账号

image-20210110123353138.png

在令牌栏输入令牌名称,点击生成,此时,记住这个token

使用以下命令,携带token,就可以进行分析了,此时,不需要maven下的setting.xml的配置了,为了验证,我们先将setting.xml中的步骤一配置注释掉

mvn sonar:sonar -Dsonar.host.url=http://192.168.0.202:9000 -Dsonar.login=37ad464c14b9bebc19cc606ec6ae85e0ffb7f379 -Dmaven.test.skip=true

至此: SonarQube简单的使用就结束了,下方参考文章中有更多玩法,有兴趣的朋友可以多了解了解,祝大家变得更强~

参考文章:

https://blog.csdn.net/wym2011aaj/article/details/98055438

https://docs.sonarqube.org/7.8/analysis/scan/sonarscanner-for-maven/

https://blog.csdn.net/xinluke/article/details/52174026

https://blog.csdn.net/weixin_40861707/article/details/82117232

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容