Jenkins+SonarQube+Gitlab搭建自动化持续代码扫描质量平台(转载)

最新推荐文章于 2022-12-16 17:58:59 发布
最新推荐文章于 2022-12-16 17:58:59 发布
阅读量360 收藏 1
点赞数 1
文章标签: sonar+jerkins
原文链接:https://zuozewei.blog.csdn.net/article/details/84539396?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.control&dist_request_id=&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.
版权
  • 一、前言
  • 二、代码评审
  • 三、SonarQube简介
  • 四、SonarQube安装配置
  • 五、小团队持续代码扫描实践
  • 六、写在最后

  • 一、前言

    现如今大家越来越认识到质量前移的重要性。如果一开始就写出优质的、经过测试的代码,那么后面的测试阶段将会减少很多不必要的时间。如果开发人员迫于业务压力,一味追求项目开发进度,往往会容易形成大量的“烂代码”。
    一般的烂代码体现在逻辑混乱、复杂度高、易读性差、没有单元测试和缺乏必要的注释。如果把这样的“烂代码”编译交付测试团队,那么测试人员势必会发现很多低级缺陷,甚至连冒烟测试都无法通过,这样势必会浪费很多时间,延误测试进度。
    所以,回到开始,为何不一开始就是写出优质代码呢?

  • 二、代码评审

    我们都知道很多公司都在推行DevOps、推行测试前移,就是让测试人员尽早参与研发过程中来,有很多团队推行了测试人员参与代码评审流程,但是往往效果不是很理想,原因通常是由于测试人员代码能力有限,不熟悉业务代码逻辑,当然也就无法发现正确问题,这样也就而导致测试团队的代码评审变成了摆设。那么问题来了,有什么办法解决这种状况吗?
    如果测试人员在执行代码评审的时候可以借助一些代码扫描工具,然后针对这些扫描出的问题再进一步分析,这样轻易地可以发现一些真正代码问题。

  • 三、SonarQube简介

    在实际的项目中,我们一般使用的多种编程语言,那么我们需要针对多种编程语言的一种扫描工具。目前主流的是使用SonarQube代码质量分析平台。

  • 它主要的核心价值体现在如下几个方面:

    检查代码是否遵循编程标准:如命名规范,编写的规范等。
    检查设计存在的潜在缺陷:SonarQube通过插件Findbugs、Checkstyle等工具检测代码存在的缺陷。
    检测代码的重复代码量:SonarQube可以展示项目中存在大量复制粘贴的代码。
    检测代码中注释的程度:源码注释过多或者太少都不好,影响程序的可读可理解性。
    检测代码中包、类之间的关系:分析类之间的关系是否合理,复杂度情况。
    SonarQube平台由4个组件组成:

  • 1、一个SonarQube服务器包含三个子进程(web服务(界面管理)、搜索服务、计算引擎服务(写入数据库))
    2、一个SonarQube数据库配置SonarQube服务
    3、多个SonarQube插件位于解压目录extensions\plugins目录
    4、一个或者多个SonarQube Scanners 用于分析特定的项目
    SonarQube主要工作流程:

  •  

    1、开发人员使用开发工具(IDE)上传代码到GitLab(源代码管理器);
    2、Jenkins(CI系统)SCM自动拉取代码到到编译服务器;
    3、Sonar Scanners扫描该代码检查质量,将分析结果推送到SonarQube平台,进而持久化数据库存储;
    4、开发&测试人员可以使用IDE插件来同步SonarQube结果(java和js版本等)并可以实时在线分析分析
    领导可以通过Web访问SonarQube质量平台,项目代码质量趋势一目了然

     

    四、SonarQube安装配置

    具体的安装部署,本文就不再重复造轮子了,大家可以参照官网的手册
    https://docs.sonarqube.org/latest/setup/install-server/

    这里我们把一些初次使用需要注意的地方和遇到的“坑”与大家分享一下。
    版本选择:
    目前的版本是更新的很快,安装的时候建议选带LTS的版本,即Get the LTS (Long-term Support): SonarQube 6.7.x
    长期维护版本。

    SonarScanner扫描器选择:
    目前支持的扫描方式:

    SonarQube Scanner for MSBuild
    SonarQube Scanner for Maven
    SonarQube Scanner for Gradle
    SonarQube Scanner for Ant
    SonarQube Scanner For Jenkins
    SonarQube Scanner
    因为我们是用Jenkins做为后台的持续扫描调度服务,所以需要安装SonarQube Scanner For Jenkins插件,也就不需要安装其他的扫描器了。

  •  

     

    在Jenkins全局配置中SonarQube服务器连接详细信息的配置。然后,使用标准Jenkins工程构建步骤从Jenkins触发SonarQube扫描分析,支持触发方式包括:

    SonarQube Scanner
    SonarQube Scanner for Maven
    SonarQube Scanner for Mave
    SonarScanner for MSBuild
    分析完成后,插件将检测到构建过程中是否进行了SonarQube分析,并在Jenkins工程页面上显示徽章和小部件,其中包含指向SonarQube平台的链接以及质量阀状态。

  •  

  • 打开构建结果的链接来查看具体的分析报告

    关于数据库的选择:
    SonarQube支持多种数据库,由于我们使用MySQL比较方便,所以选择的是MySQL数据库(注意不支持SonarQube数据中心版),数据库设置的字符集为UTF-8,另外考虑数据库性能,应该将表的引擎更改为InnoDB引擎。要注意配置innodb_buffer_pool_size参数为MySQL实例分配合理的内存。

    以下为建库SQL脚本

  • 关于Jenkins的配置:
    在 Jenkins 项目构建过程中加入SonarScanner进行代码分析,首先需要在Jenkins工程的构建环境标签页中勾选"Prepare SonarQube Scanner evironment"

  • 配置SonarQube Scanner构建步骤

  • Task to run: 输入 scan,即分析代码;
    JDK :选择 SonarQube Scanner 使用的 JDK(注意这里必须是 JDK 不能是 JRE);
    Path to project properties : 这里可以指定一个sonar-project.properties 文件,如果不指定的话会使用项目默认的 properties文件;
    Analysis properties: 这里需要输入一些配置参数用来传递给 SonarQube,这里的参数优先级高于sonar-project.properties文件里面的参数,所以可以在这里来配置所有的参数以替代sonar-project.properties文件,下面列出了一些参数,sonar.language指定了要分析的开发语言(特定的开发语言对应了特定的规则),sonar.sources定义了需要分析的源代码位置(示例中的.所指示的是当前 Jenkins项目的目录),sonar.java.binaries 定义了需要分析代码的编译后文件位置;
    Additional arguments 输入框中可以输入一些附加的参数,示例中的-X 意思是进入SonarQube Scanner的Debug 模式,这样会输出更多的日志信息;
    JVM Options 可以输入在执行 SonarQube Scanner是需要的JVM参数。
    关于质量阀状态关联编译结果
    Jenkins支持每当代码分析无法满足SonarQube的质量标准时,即工程构建失败,Jenkins需要安装Quality Gates Plugin

  • 另外,在项目工程中需要增加“构建后操作”,不过此插件好像有个缺陷,Project key输入框不支持${variable}形式

  • 五、小团队持续代码扫描实践

    1、技术方案&实现

    1)原生的开源框架:Jenkins+SonarQube+Gitlab

  • 2)单点执行,满足小团队要求

  • 3)及时反馈机制:Jenkins的Montor view插件+钉钉群通知+Email通知
    Montor view可以挂到团队电视看板上。

  • 钉钉群通知

  • 产品团队邮件通知

  • 4)手工配置为主

    2、流程&标准

    1)项目多分支开发模型

  • 2)Jenkins定时轮巡代码扫描
    3)关注单个质量维度:代码违规
    SonarQube支持多种维度代码扫描,如下图:

  • 基于保持简单的原则,主要从代码违规维度出发,代码规则和潜在Bug测试人员跟进审核,确认是否误报,提升测试人员代码评审能力。

  • 4)设置质量阀

  • 3、团队&文化

    1)领导重视代码质量
    2)团队成员积极性高
    3)敏捷文化形成

    六、写在最后

    DevOps开发模式目前已成为当前各大互联网公司的主流文化或技术。在DevOps中依然离不开测试,测试人员如何融入其中去?可以说,在DevOps中想要做好测试,技术上需要很多要求,主要体现在以下方面:

    代码基本功(Java、Python、shell、groovy)
    工具链(Jenkins、Gitlab、maven、ant等)
    容器(docker、k8s等)
    操作系统(linux、ssh等)
    自动化技术(Java服务端方向:Springboot、TestNG、MyBatis/JPA、MySQL、HttpClient、ExtentReport、dubbo、http/https、Postman、Mockito等)
    性能测试技术(JMeter、Tomcat、Nginx、Redis、MongoDB、Telegraf、InfluxDB、Grafana、Nmon、JVM等)

    ————————————————
    版权声明:本文为CSDN博主「zuozewei」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/zuozewei/article/details/84539396

IT_luntan
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GitLab+Jenkins+SonarQube 敏捷开发持续集成环境
07-27
敬上《敏捷宣言》 、个体和互动高于流程和工具 、工作的软件高于详尽的文档 、客户合作高于合同谈判 、响应变化高于遵循计划 这篇文章是前期工作用到的技术的总结 绝对的精华 传统的开发模式在西方已经销声匿迹 然而在我们的“环境”还是一直存在着 but 高瞻远瞩的人已经行动起来 敏捷宣言的出现 拯救了一大批你我一样的程序“猿”
Jenkins集成SonarQubeGitlab搭建自动化代码质量管理平台
邓邓子的博客
09-03 3073
一、Jenkins安装Gitlab插件 二、Jenkins安装SonarQube插件 三、Jenkins重启 登录后在浏览器地址后加restart:http://192.168.1.35:8000/restart 四、Jenkins配置JDK
持续代码审查平台搭建Sonarqube+Jenkins+Gitlab
weixin_38880029的博客
07-02 3557
目录前言一、安装SonarQube1.1 安装Java SDK1.2 安装和配置MySQL1.3 下载Sonarqube1.4 配置Sonarqube1.5 启动Sonarqube二、安装GitLab2.1 安装相关依赖文件2.2 下载GitLab2.3 安装GitLab 2.4 启动GitLab三、安装Jenkins3.1 下载Jenkins3.2 启动Jenkins四、JenkinsSonarqube集成4.1 Sonarqube下安装插件4.2 Sonarqube下C++质量配置4.3 Sonarq
createprocess失败代码2_DevOPS | 基于sonarqubejenkinsgitlab持续集成代码检查
weixin_39976166的博客
11-26 324
持续集成过程,针对代码的静态检查一般有两个时间点:一是提交代码的时候、二是提交merge request的时候,如果代码检查不通过,则可以直接拒绝此次代码提交或者合并。下面我们介绍下在常见的devops工具链sonarqubejenkinsgitlab下,实现在merge request提交的时候进行代码检查的方法。jenkins端的配置首先,我们在jenkins安装如下几个插件:git...
Jenkins+GitLab+SonarQube实现自动化代码检测(以C++代码为例)
orgotF的博客
04-08 2789
一、安装SonarQube 查看之前的博客https://blog.csdn.net/qq_15559817/article/details/100736498?spm=1001.2014.3001.5501 二、安装Jenkins 1、安装java jdk环境 (1)更新软件包列表 sudo apt-get update (2)安装openjdk-8-jdk(不要安装java11,不然之后jenkins会遇到各种问题) sudo apt-get install openjdk-8-.
Docker+Jenkins+GitLab+Maven+Harbor+SpringBoot自动化构建
06-10
1. Docker+Jenkins+GitLab+Maven+Harbor+SpringBoot自动化构建+Jenkins自动化部署配置 2.无须运维部署 ,而是相关的开发人员,测试人员登录jenkins传入需要部署的tag即可,整个部署过程无须运维参与,解放运维劳动力
K8S+DockerCE+Jenkins+Maven+Gitlab自动化打包部署
09-30
K8S+DockerCE+Jenkins+Maven+Gitlab自动化打包部署
Jenkins+Maven+Gitlab运维自动化平台部署实施
最新发布
07-12
在DevOps的具体实践Jenkins+Maven+Gitlab运维自动化平台共同构建了更好的 CI/CD 流程,对自动化持续交付流水线进行了优化。 本文实战讲解Jenkins+Maven+Gitlab运维自动化平台部署实施过程,当然每个人的实验环境...
gitlab+jenkins+docker自动化部署脚本
12-30
gitlab+jenkins+docker自动化部署脚本,采用shell与python开发,其python部分均为封装成型的逻辑,只接受shell传参就能完成项目构建
Jenkins+Ant+Tomcat持续集成自动化测试平台搭建
01-27
每次集成都通过自动化的构建(包括编译、发布、自动化测试)来验证,从而尽快发现集成错误。许多团队发现这个过程可以大大减少集成的问题,让团队能够更快的开发内聚的软件。 项目构建:通过构建工具对多个项目文件...
Jenkins+SonarQube+Gitlab搭建自动化持续代码扫描质量平台
热门推荐
Mo小泽的技术博客
11-27 2万+
前言 现如今大家越来越认识到质量前移的重要性。如果一开始就写出优质的、经过测试的代码,那么后面的测试阶段将会减少很多不必要的时间。如果开发人员迫于业务压力,一味追求项目进度,往往会容易形成大量的“烂代码”。一般的烂代码体现在逻辑混乱、复杂度高、易读性差、没有单元测试和缺乏必要的注释。如果把这样的代码编译交付测试团队,那么势必会发现很多低级缺陷,甚至冒烟测试都无法通过,这样势必会浪费很多时间,延误测...
Gitlab+Jenkins+SonarQube实现代码质量扫描自动化
IMJCW的博客
09-10 3841
背景 按照安全基线的要求,需要对上线前的代码进行扫描。 此前,测试已经搭建过一个扫描服务,sonarqube。 流程定义 大致的流程如下: 开发提交代码Gitlab 上提交MR Jenkins 接收到创建MR的通知,检查是否符合规则 若符合规则,则执行扫描 扫描结束后,执行 Python 脚本,获取扫描状态 根据扫描结果,设置临时环境变量 评论MR 基础环境 GitLab Jenkins Sonarqube Sonarqube配置 安装多分支扩展(开发版路过) 传送门 生成访问令牌 配置路
sonarqube7.8代码检查+gitlab+postgres12集成jenkins
码农崛起
07-08 1309
docker-compose 方式 由于es需要非root权限启动 第一次启动完 chown -R 999.999 sorna目录在重新启动
GitLab + Jenkins + Sonar Qube 持续集成
qq_33808440的博客
04-13 1917
一. 持续集成 让产品快速迭代,同时还能保证高质量,简化工作流程 二. 持续交付 让通过持续集成后的代码可以部署 三. 持续部署 四. 持续集成的实施流程
DevOps实战系列【第九章】:详解Sonarqube搭建及集成Jenkins环境
lijie1051的专栏
12-16 2129
手把手教你玩转DevOps全栈技术
Jenkins流水线构建gitlab项目整合SonarQube扫描代码
weixin_43993065的博客
05-16 4059
文章目录为什么要配置注意创建SonarQube工程Jenkins配置首次构建,配置凭据(此步骤每组有一个人做了就好)构建项目配置项目注意 为什么要配置 ​ 现在主要是使用SonarQube,在我们将项目上传到gitlab后,Jenkins自动对项目进行构建,并通过SonarQube进行代码分析,方便詹老师查看。 注意 ​ 因为我们各微服务都有引入基础框架,所以一定要先配置基础框架跟starter,将jar先安装到jenkins服务器的maven,我们各微服务才能正常构建 创建SonarQube工程 Son
基于Gitlab+Jenkins+SonarQube代码自动化审查方案
VincentQB的博客
11-19 2627
简单说明: SonarQube 是一个自动化代码审查工具,能够方便的集成到常见的各种CI/CD,实现对代码变更后的自动化审查 官方文档:https://docs.sonarqube.org/7.9/ 环境需求:https://docs.sonarqube.org/7.9/requirements/requirements/ 本架构的集成方案是Gitlab上接收到代码的push请求时,触发We...
钉钉(dingding)的sonar(代码质量管理工具的)集成通知【原创】
weixin_34248258的博客
05-10 742
2019独角兽企业重金招聘Python工程师标准>>> ...
jenkins+k8s+gitlab+harbor实现自动化部署全部流程代码
05-30
很抱歉,由于这个流程涉及到多个技术和环境,无法提供完整的代码。不过,我可以为您提供一些参考: 1. 在 Kubernetes 集群安装 Jenkins 您可以使用 Helm Chart 来部署 Jenkins: ```bash helm repo add jenkins https://charts.jenkins.io helm repo update helm install jenkins jenkins/jenkins ``` 2. 配置 Jenkins 您需要安装 GitLab 插件和 Kubernetes 插件,并配置相关参数。具体可以参考官方文档。 3. 部署 Harbor 镜像仓库 您可以使用 Helm Chart 来部署 Harbor: ```bash helm repo add harbor https://helm.goharbor.io helm repo update helm install harbor harbor/harbor ``` 4. 配置 Jenkins 容器代理 您需要在 Kubernetes 集群部署 Jenkins 容器代理,具体可以参考官方文档。 5. 配置 GitLab Webhook 您需要在 GitLab 项目配置 Webhook,具体可以参考官方文档。 6. 在 Jenkins 管道使用 Kubernetes 插件 您需要在 Jenkins 管道使用 Kubernetes 插件来部署应用程序,具体可以参考官方文档。 以上仅是一个简单的流程介绍,如果您需要更详细的实现细节和代码,建议您深入学习每个技术的使用方法和原理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值