代码规范审查工具SonarQube使用和搭建步骤

最新推荐文章于 2024-05-31 22:09:15 发布
最新推荐文章于 2024-05-31 22:09:15 发布
阅读量251 收藏
点赞数
分类专栏: SonarQube 文章标签: 数据库 intellij-idea mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_mycsdn/article/details/103132728
版权

安装步骤

安装和配置:

1.官网最新版压缩包:
在这里插入图片描述
解压缩后:
在这里插入图片描述

2.配置

在这里插入图片描述

sonar.web.host=0.0.0.0
sonar.web.port=19800

SonarQube可使用内嵌数据库或外部数据库,如果外部数据库需要添加数据源和驱动

sonar.jdbc.username=mysql
sonar.jdbc.password=mysql
sonar.jdbc.url=jdbc:mysql://ip:3306/mysql?useUnicode=true&characterEncoding=utf8&useSSL=false

在这里插入图片描述
如果使用内置数据库,配置好内置数据库端口即可:

#----- Embedded Database (default)
# H2 embedded database server listening port, defaults to 9092
sonar.embeddedDatabase.port=9092

3.环境配置
最新版本Sonar需要Java11,请提前配置JAVA_HOME

set JAVA_HOME=C:\Program Files\Java\jdk11.0.4
set PATH=%JAVA_HOME%/bin;%PATH%
启动登陆:

1.启动Sonar
sonarqube-7.9.1\bin\windows-x86-64目录下启动StartSonar.bat。
为方便查看日志输出,建议在cmd中启动。
启动后暂时不要关闭,保持运行状态,后续扫描需要连接。
2.登陆
浏览器打开:localhost:19800
初始用户:admin/admin
JavaScript扫描支持
如果需要扫描Javascript文件,需要安装Node.js。

使用方法

SonarQube支持包括上传代码或集成ant、gradle、maven等编译工具等多种方式进行代码扫描。因为我们的项目多数使用Maven管理,这里介绍使用Maven的方式进行代码扫描。

编辑MAVEN配置文件

在这里插入图片描述
添加如下pluginGroup和Profile(请自行调整顺序位置):

<pluginGroups>
        <pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
</pluginGroups>
<profiles>
    <profile>
            <id>sonar</id>
            <activation>
                <activeByDefault>true</activeByDefault>
</activation>
 		 	<properties>
                <sonar.host.url>
                  http://localhost:19800
                </sonar.host.url>
            </properties>
        </profile>
</profiles>
在工程中执行扫描

工程中执行扫描,只需要Eclipse中新建一个Maven build即可,如下所示:
在这里插入图片描述
org.sonarsource.scanner.maven:sonar-maven-plugin:3.6.1.1688:sonar
注意对于新版本Sonar使用3.6.1.1688插件,插件对应版本号请参见:
https://docs.sonarqube.org/latest/analysis/scan/sonarscanner-for-maven/
如果工程本身收Git或SVN等版本控制需要额外安装相关插件,详见:
https://docs.sonarqube.org/latest/analysis/scm-integration/

扫描结果:

1. 控制台输出
扫描完成后,Maven会打印和其他Maven操作类似的输出,如下所示:
在这里插入图片描述
之后可以登陆SonarQube主页(http://localhost:19800)进行查看:
2.查看代码报告
扫描完成后,登陆页面可以看到扫描的结果报告:
在这里插入图片描述

其他说明

版本管理

在不使用外部SCM工具的情况下,SonarQube依然提供版本管理功能,支持统一版本号多次扫描结果保存和不同版本号的管理,如下图所示:
在这里插入图片描述

严重性级别解释

根据之前的经验,目前存在些许误报的情况,并且轻微级别的问题大多可以忽视。官网对于级别的定义如下:
在这里插入图片描述
在这里插入图片描述
需要注意的是,根据如上说明,Major影响比Critical更大,但是发生概率较低,Critical发生概率大。所以除了Minor其他问题都应该视为必须要修改的问题。

问题处理建议

经过实践,发现现存代码扫描出的问题较多,所以提出以下处理建议:
1.所有类型的Blocker级别都应该优先分析处理;
2.Reliability Bugs和安全性Vulnerability的Critical和Major级别都应该分析处理;
3.所有的Minor级别、可维护性条目以及代码冗余在已上线项目中重暂缓处理,在新项目中尽量减少。

Stefanboy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker学习四-配置SonarQube
大尉的博客
12-17 539
1、拉取数据库 SonarQube默认使用的PostgreSQL数据库,PostgreSQL也是一个关系型数据库。 docker pull postgres 2、拉取SonarQube docker pull sonarqube 3、启动PostgreSQL   在docker容器中配置启动PostgreSQL,创建一个数据库db_sonar,并创建用户、设置密码: docker run ...
Gradle进阶使用结合Sonarqube进行代码审查的方法
08-26
Gradle作为一个强大的构建工具,结合Sonarqube这样的静态代码分析平台,可以帮助开发者实现自动化代码审查,从而提升代码的可读性、可维护性和整体质量。本篇文章将深入探讨如何在Gradle项目中集成Sonarqube进行代码...
CICD详解(十二)——Sonar安装与配置
永远是少年
04-02 4576
今天继续给大家介绍Linux运维相关知识,本文主要内容是Sonar的安装与配置。 一、Sonar下载与安装 二、数据库配置 三、Sonar配置 四、Sonar启动
看这里,全网最详细的Sonar代码扫描平台搭建教程
最新发布
apex_eixl的博客
05-31 1793
sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 ​
SonarQube最全使用教程
tongfj的博客
07-13 3万+
集成代码质量平台,提升代码质量
Sonar部署及初体验
浪子恒心
02-28 167
 从  http://www.sonarsource.org/downloads/  下载最新版的sonar安装包,上传到服务器上,解压。 编辑conf目录下的sonar.properties文件 sonar.web.host: 0.0.0.0 sonar.web.port: 9090...
Sonar环境搭建
BushRo
04-18 1097
项目中需要使用Sonar来进行代码的质量检测。下面来进行环境搭建。 下载Sonar SonarQube有多个版本,其中CE(Community Edition)版本免费开源,其余的开发者版本、企业版本和数据中心版本都是收费版本。 官网下载:https://www.sonarqube.org/downloads/ CE下载:https://binaries.sonarsource.com/Dis...
window sonar 的安装和配置
weixin_33751566的博客
01-08 131
一、sonar有三部分组成: 1) 服务端:显示分析结果和sonar相关配置 2)客户端:对项目运行源代码进行运算和分析 3)数据库:存储sonar配置和代码分析结果的数据库 二、环境和软件准备: JDK:jdk1.8.0_121 在此下载演示版本: pan.baidu.com/s/1a6AJCPt0… Maven:apache-maven-3.2.3 MySQLmysql-5.7.13 在此...
推荐17款最佳的代码审查工具
03-01
官方网站:http://codestriker.sourceforge.net/index.htmlRhodeCode是另一款非常棒的代码审查工具,能让你发现代码中的bug和问题,并在检查过后删除它们。官方网站:https://rhodecode.com/Codebrag是一款简单轻巧...
sonarqube7.9.0版本代码审查工具下载
02-02
SonarQube是一款强大的开源平台,专用于代码质量管理、代码审查和静态代码分析。它能够检测出源代码中的潜在缺陷、代码异味、漏洞和复杂度,帮助开发团队提高代码质量和可维护性。7.9.0是SonarQube的一个稳定版本,...
代码规范检测工具.docx
06-19
本文将详细介绍如何在Intellij IDEA、Eclipse以及MyEclipse这三种常用的集成开发环境中安装和使用阿里巴巴的代码规范检查插件,并解析代码规范中的Blocker/Critical/Major三个等级的含义。 一、插件安装 1. ...
sonar代码检测
02-01
sonarSonarQube)是一个开源平台,用于管理源代码的质量,它不仅是一个质量数据报告工具,更是代码质量管理平台。它通过插件的形式来管理代码,它支持的语言包括:Java,PHP,C#,C等
sonarqube质量分析工具
08-28
SonarQube是一个开源工具,可以帮助进行代码质量分析和报告。它会扫描用户的源代码,查找潜在的错误,漏洞和可维护性问题,然后在报告中显示结果,方便用户识别应用程序中的潜在问题。
Java代码审查工具
07-28
Java代码审查工具是提高软件质量和团队协作效率的重要手段。代码评审是一种系统性的源代码检查过程,旨在确保代码符合编程标准,减少错误,提高可维护性和可读性,同时也能促进团队成员之间的知识共享。在这个过程中...
代码审查管理【SonarQube
Davieyang.D.Y
11-12 5209
Sonar是一个用于代码质量管理的开源平台,用于管理Java源代码的质量。通过插件机制,Sonar 可以集成不同的测试工具代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。 此外,Sonar 的插件还支持20几种语言!
SonarQube 7.7默认数据库连接方法
weixin_30706691的博客
06-17 1376
SonarQube7.7默认数据库为H2 embbed数据库 连接字符串:jdbc:h2:tcp://localhost:9092/sonar 用户名密码都为空 转载于:https://www.cnblogs.com/punkrocker/p/11039780.html
sonar8.9.1导出扫描结果pdf 实操
weixin_42804852的博客
12-27 5287
win10环境: java版本 sonarqube版本是8.9.1 sonarscanner版本是4.5.0 插件用的社区最新的pdf插件: gitee开源社区的下载地址是:https://gitee.com/zzulj/sonar-pdf-plugin 目前最新的支持8.9.1版本… 源码down到本地 执行mvn命令:编译:mvn clean package -Dmaven.test.skip=true -Dlicense.skip=true 会生成jar包 在target目录下 把这个ja
SonarQube7.3安装和使用说明
热门推荐
....
08-27 6万+
一 . SonarQube代码质量检查工具简介 Sonar (SonarQube)是一个开源平台,用于管理源代码的质量. Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。 支持Java, C#, C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等等二十几种编程语言的代码质量管理与检测。 Sonar可以从以下七个维度检测代码质量,而作为开发人员...
Sonar系统使用说明
clamaa的专栏
02-23 566
1.      Sonar简介   Sonar是一个用于代码质量管理的开源平台,用于管理源代码的质量,可以从七个维度检测代码质量   通过插件形式,可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测     2.      Sonar的安装 作为一个代码分析平台,Sonar由以下三个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值