SonarScanner 源码分析

最新推荐文章于 2024-01-18 13:45:35 发布
VIP文章 最新推荐文章于 2024-01-18 13:45:35 发布
阅读量1.5k 收藏 4
点赞数 2
分类专栏: SonarQube 文章标签: 代码规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ewferferr/article/details/120432701
版权

SonarScanner 源码分析

title: SonarScanner 源码分析
date: 2020-11-24 14:00:00
author: mamian521#gmail.com

介绍:

SonarQube是一个静态代码扫描平台,支持主流语言的静态代码扫描分析。

SonarQube主要分为几个模块:WebServer、CeServer、Scanner

今天主要对 Scanner 分析一下源码,其中Scanner是在本地执行扫描分析的工具,也就是说SonarScanner是在本地执行扫描分析之后将结果上传到服务端进行分析。本文重点介绍一下 Scanner 的源码和原理。

SonarScanner 的源码主要有三部分,一个是 SonarScannerCli 用来执行命令和接收参数(https://github.com/SonarSource/sonar-scanner-cli.git),另一个是 SonarScannerApi ,主要用来下载插件包和加载类 (https://github.com/SonarSource/sonar-scanner-api.git),还有真正用来执行扫描的 SonarScannerEngine (https://github.com/SonarSource/sonarqube/tree/master/sonar-scanner-engine)

本文主要分析一下前两部分。

SonarScannerCli

目录结构:

可以看出,Cli 的源码并不多,入口是 Main 类的 main 函数

Logs logs = new Logs(System.out, System.err);
Exit exit = new Exit();
Cli cli = new Cli(exit, logs).parse(args);
Main main = new Main(exit, cli, new Conf(cli, logs, System.getenv()), new ScannerFactory(logs), logs);
main.execute();

主要的几个类:

Logs 用来记录日志

Exit 记录退出码

Cli 用来解析命令行执行时传递的变量

Conf 类用来接收 Cli 解析之后的参数

参数主要从几个地方获取

  1. Scanner 全局设置(Scanner安装目录/conf/sonar-scanner.properties)
  2. 环境变量 (key = SONARQUBE_SCANNER_PARAMS value 格式为 JSON )
  3. 仓库文件 (sonar-project.properties)
  4. 命令行参数 (通过 Java Properties 传递)

最后在 Main 里的 execute 方法中执行扫描

再来看看这个方法

execute

void execute() {
   
    // 记录执行耗时
    Stats stats = new Stats(logger).start();

    // 默认退出码为1
    int status = Exit.INTERNAL_ERROR;
    try {
   
      Properties p = conf.properties();
      // 检查是否有 skip 跳过扫描的设置
      checkSkip(p);
      // 根据参数设置 log 级别
      configureLogging(p);
      // 初始化 runner
      init(p);
      // 初始化 变量 ,下载插件
      runner.start();
      logger.info(String.format("Analyzing on %s", conf.isSonarCloud(null) ? "SonarCloud" : ("SonarQube server " + runner.serverVersion())));
      // 执行扫描
      execute(stats, p);
      status = Exit.SUCCESS;
    } catch (Throwable e) {
   
      displayExecutionResult(stats, "FAILURE");
      showError("Error during SonarScanner execution", e, cli.isDebugEnabled());
      status = isUserError(e) ? Exit.USER_ERROR : Exit.INTERNAL_ERROR;
    } finally {
   
      exit.exit(status);
    }

  }

里边最重要的是 3 个方法,

init(p);
runner.start();
execute(stats, p);

init

private void init(Properties p) {
   
    SystemInfo.print(logger);
    if (cli.isDisplayVersionOnly()) {
   
      exit.exit(Exit.SUCCESS);
    }

    runner = runnerFactory.create(p, cli.getInvokedFrom());
  }
class ScannerFactory {
   

  private final Logs logger;

  public ScannerFactory(Logs logger) {
   
    this.logger = logger;
  }

  EmbeddedScanner create(Properties props, String isInvokedFrom) {
   
    String appName = "ScannerCLI";
    String appVersion = ScannerVersion.version();
    if (!isInvokedFrom.equals("") && isInvokedFrom.contains("/")) {
   
      appName = isInvokedFrom.split("/")[0];
      appVersion = isInvokedFrom.split("/")[1];
    }

    return EmbeddedScanner.create(appName, appVersion, new DefaultLogOutput())
      .addGlobalProperties((Map) props);
  }

EmbeddedScanner runner 是真正的执行的扫描的类,创建该类的实例化时,提供了一个 create 方法,实现了工厂设计模式。

ScannerFactory 就进入到了 ScannerApi 这个库里

可以看到,更多的细节处理在 SonarScannerApi 中,SonarScannerCli 这个库主要是进行了命令的解析及处理,后续的工作由 SonarScannerApi 来完成。

SonarScannerApi

目录结构:

我们先看一下 EmbeddedScanner 这个入口类

/**
 * Entry point to run SonarQube analysis programmatically.
 *
 * @since 2.2
 */
public class EmbeddedScanner {
   
  private static final String BITBUCKET_CLOUD_ENV_VAR = "BITBUCKET_BUILD_NUMBER";
  private static final String SONAR_HOST_URL_ENV_VAR = "SONAR_HOST_URL";
  private static final String SONARCLOUD_HOST = "<https://sonarcloud.io>";
  private final IsolatedLauncherFactory launcherFactory;
  private IsolatedLauncher launcher;
  private final LogOutput logOutput;
  private final Map<String, String> globalProperties = new HashMap<>();
  private final Logger logger;
  private
最低0.47元/天 解锁文章
ewferferr
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Sonar-Scanner-Engine源码分析
ewferferr的博客
09-23 1151
Sonar-Scanner-Engine源码分析 title: Sonar-Scanner-Engine源码分析 date: 2021-09-18 author: mamian521#gmail.com 介绍 根据 sonar-scanner-cli 和 sonar-scanner-api 的源码分析,我们得知,真正执行本地扫描的源码并不在这两处,而是在另外一个模块里,sonar-scanner-engine 地址:[https://github.com/SonarSource/sonarqube.gi
sonarscanner-cli-4安装包(mac).zip
02-28
sonarscanner是检测代码质量,并把检测结果上传到sonarQube平台上的插件
Sonarqube源码解析
HenryXiao的博客
05-24 5095
Sonarqube 一、简介 SonarQube 是一种自动代码审查工具,用于检测代码中的错误、漏洞和代码异味。它可以与您现有的工作流程集成,以实现跨项目分支和拉取请求的持续代码检查 二、组成 Sonar主要由sonar-scannersonar-server两个部分组成 sonar-scanner作用主要是负责代码扫描 sonar-server作用是负责sonar web展示工作、数据库交互工作、扫描计算工作、规则存储工作、第三方插件打通等 Sonar-scanner源码 一、地址 GitHub:
sonarqube扫描代码
最新发布
李习的博客
01-18 458
由于安装是9.9版本的sonarqube,这家伙好像已经是java 11的jdk了。于是又安装了很长时间的jdk 11。网上找了好多文章,似乎。。。。都是错了,这里找了一个依然是错的,但是有价值的。主要有两个方法,方法1是手动配置文件,手动改。方案二是用jenv。由于没有用过jenv,又不想去弄jenv,所以就选择的手动配置文件。jenv的一个。
sonarsonarscanner的linux安装包
03-05
sonarsonarscanner的linux安装包 sonarsonarscanner的linux安装包
SonarScanner for .NET 4.6+
02-16
可参照https://www.cnblogs.com/tylerzhou/p/11229548.html这个博客了,当然官网的方式也行,官网的比较麻烦https://docs.sonarqube.org/latest/analysis/scan/sonarscanner-for-msbuild/ 关于Sonarqube的整体部署可参照我的博客 Sonarqube在Windows Server2008R2上部署及基于VS2019进行代码审核
SonarQube和SonarScanner
03-22
Sonarqube集成的包,包含Sonarqube和Sonar-Scanner。版本为(sonarqube-6.5,sonar-scanner-3.2.0.1227)
自己搭建Sonar代码扫描
zhang_adrian的博客
12-22 1072
自己搭建Sonar代码扫描必要软件安装Mysql安装SonarQube 7.7搭建sonar-scanner 必要软件 1、SonarQube 下载地址:https://www.sonarqube.org/downloads/。 因为新版本必须安装java11,且不支持mysql 所以本文选择低版本:SonarQube 7.7 下载界面如下: 选择社区版本即可 2、sonar-scanner的下载地址: https://binaries.sonarsource.com/Distribution/sonar
Linux 环境下SonarScanner安装
07-05 2265
Linux 环境下安装SonarScanner
Java代码质量分析Sonar
赵广陆
06-18 3350
目录 1. sonar安装 1.1 简介 1.1.1 客户端 1.1.2 sonar 版本区分 1.1.2.1 社区版 1.1.2.2 开发者版 1.1.2.3 企业版 1.2 安装部署 1.2.1 修改文件句柄数 1.2.2 创建挂载目录 1.2.3 创建docker-compose.yml 1.2.4 启动 1.2.4.1 访问测试 1.2.5 安装插件 1.2.5.1 汉化插件 1.3 静态分析插件介绍 1.3.1 什么是静态代码分析 1.3.1.1 静态代码分析优势
windows安装sonarqube7.4+sonar-scanner-cli【JDK8+MySQL】
n1355553344的博客
04-29 1465
1. 下载sonarqube7.4,所有历史版本下载地址 2. 进入解压后的目录:sonarqube-7.4\conf 1)编辑sonar.properties 搜索JDBC注释掉的地方,添加上这串: sonar.jdbc.url=jdbc:mysql://127.0.0.1:3306/sonar?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance
sonar-scanner的执行流程和对ClassLoader,动态代理的使用
weixin_30516243的博客
09-22 227
最近项目上使用了sonarqube来提供静态代码检查的服务,在看sonar-scanner源码的时候,发现sonar-scanner用来分析的jar包是从sonar的服务器上下载下来的,使用自定义的ClassLoader来加载这些从服务器上下载下来的jar包,然后使用了jdk的动态代理来创建了一个启动器类,然后使用这个启动器调用了sonar提供的Batch API启动了代码分析 Sonar的sc...
SonarScanner3.3.rar
06-14
sonar-scanner-cli-3.2.0.1227-linux.zip sonar-scanner-cli-3.3.0.1492-linux.zip sonar-scanner-cli-3.3.0.1492-windows.zip sonar-scanner-msbuild-4.6.2.2108-net46.zip
Sonar简介
transform_xbc的博客
08-17 793
SonarQube是一个静态代码扫描平台,支持主流语言的静态代码扫描分析Sonarqube是sonar的服务端,相当于一个web服务器,用来发布应用,在线浏览、配置分析等。
sonar pmd\p3c插件源码初步解析
Mia专栏
01-05 1408
本篇文章主要围绕对sonar-pmd-p3c插件的解析 版本说明 组件 版本 sonarqube 8.4 sonar-pmd-p3c.jar 3.2.1 pmd-java 6.15.0 p3c-pmd 2.1.0 开源基础说明 https://github.com/alibaba/p3c.git https://github.com/pmd/pmd.git https://github.com/jensgerdes/sonar-pmd.git https://github.c
Linux下使用SonarScanner扫描代码
qq_33271275的博客
01-30 927
简单记录如何在Linux下使用sonar-scanner去扫描代码
SonarQube 代码质量检测
axibazZ的博客
06-25 736
我们所说的SonarQube实际分为两个部分,一个为服务器SonarQube,一个为扫描器Sonar-Scanner。 服务器主要是用来定义扫描规则,存放扫描代码之后的检测结果。 Sonar-Scanner是用来扫描代码做具体事情的。 一、SonarQube的安装 这里以windows为例 SonarQube下载地址https://www.sonarqube.org/downloads/ 下载后解压: 我下的版本为sonarqube-8.9.1.44547 注意sonarqube7.9以
SonarQube审查Maven项目
peakchao
06-07 513
前提1:需要已经运行SonarQube的环境下操作。 前提2:项目必须有Maven环境。 pom.xml配置 <properties> <sonar.version>3.6.0.1398</sonar.version> <sonar.exclusions>**/test/*,**/target/sonar/*</sonar.exclusions> </properties>
sonarqube的api分析代码
qq_44370676的博客
05-27 1937
本人是一个菜鸡硕士,目前做的是源代码审计,也会根据项目需求开发自定义的源代码检测工具。这时候了解一些第三方源代码分析工具就很重要了。目前已用过的有 antlr, sonarqube(除了C语言不开源其他语言的都开源), pycparser(只能分析C语言)。这些第三方库的共同点就是都有现成的函数直接把源代码文本转化成AST(抽象语法树),我们只需要根据自己的需要编写遍历AST的方法。包括生成控制流图什么的都是基于AST来分析。 在用过的3种第三方库中,pycparser是p...
sonarscanner 官网
01-13
SonarScanner是一个开源的静态代码分析工具,专门用于帮助开发人员发现和修复代码中的缺陷和漏洞。它可以对各种编程语言如Java、C#、JavaScript等进行静态代码分析,帮助开发人员及时发现潜在的安全风险和质量问题。 SonarScanner官网提供了详细的文档和指南,帮助开发人员了解如何安装、配置和使用SonarScanner。它还提供了丰富的示例和案例,帮助开发人员更好地理解如何利用SonarScanner来改善他们的代码质量。 在SonarScanner官网上,用户可以找到最新版本的下载链接,获取最新的升级信息和更新日志。同时,官网也提供了用户社区和论坛,让用户可以方便地分享经验、交流问题和寻求帮助。这些资源都让SonarScanner的使用变得更加便捷和高效。 通过SonarScanner官网,开发人员还可以了解到SonarScanner的扩展插件和集成工具,帮助他们更好地将SonarScanner整合到他们的开发流程中。这些集成工具可以与常用的IDE、CI/CD工具和代码托管平台无缝对接,帮助开发团队更好地实现持续集成和持续交付。 最重要的是,SonarScanner官网为用户提供了全面的技术支持和帮助文档,让用户在使用SonarScanner的过程中能够得到及时的帮助和解决问题。通过官网,用户可以提交反馈和建议,帮助SonarScanner不断改进和完善。总之,SonarScanner官网为开发人员提供了丰富的资源和支持,帮助他们更好地利用SonarScanner来优化代码质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值