Sonar-Scanner-Engine源码分析

最新推荐文章于 2024-04-27 17:30:34 发布
VIP文章 最新推荐文章于 2024-04-27 17:30:34 发布
阅读量1.1k 收藏 2
点赞数 3
分类专栏: SonarQube 文章标签: java 代码规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ewferferr/article/details/120432751
版权

Sonar-Scanner-Engine源码分析

title: Sonar-Scanner-Engine源码分析

date: 2021-09-18

author: mamian521#gmail.com

介绍

根据 sonar-scanner-cli 和 sonar-scanner-api 的源码分析,我们得知,真正执行本地扫描的源码并不在这两处,而是在另外一个模块里,sonar-scanner-engine

地址:[https://github.com/SonarSource/sonarqube.git](https://github.com/SonarSource/sonarqube.git)

本文基于 branch-9.0 分支

初始化 Batch

@Override
  public Batch createBatch(Map<String, String> properties, final org.sonarsource.scanner.api.internal.batch.LogOutput logOutput) {
   
    EnvironmentInformation env = new EnvironmentInformation(properties.get(SCANNER_APP_KEY), properties.get(SCANNER_APP_VERSION_KEY));
    return Batch.builder()
      .setEnvironment(env)
      .setGlobalProperties(properties)
      .setLogOutput((formattedMessage, level) -> logOutput.log(formattedMessage, LogOutput.Level.valueOf(level.name())))
      .build();
  }

入口类

org/sonar/batch/bootstrapper/Batch.java

// 入口方法
public synchronized Batch execute() {
   
    return doExecute(this.globalProperties, this.components);
  }

  public synchronized Batch doExecute(Map<String, String> scannerProperties, List<Object> components) {
   
    configureLogging();
    try {
   
      GlobalContainer.create(scannerProperties, components).execute();
    } catch (RuntimeException e) {
   
      throw handleException(e);
    }
    return this;
  }

private Batch(Builder builder) {
   
    components = new ArrayList<>();
    components.addAll(builder.components);
    if (builder.environment != null) {
   
      components.add(builder.environment);
    }
    if (builder.globalProperties != null) {
   
      globalProperties.putAll(builder.globalProperties);
    }
    if (builder.isEnableLoggingConfiguration()) {
   
      loggingConfig = new LoggingConfiguration(builder.environment).setProperties(globalProperties);

      if (builder.logOutput != null) {
   
        loggingConfig.setLogOutput(builder.logOutput);
      }
    }
  }

根据源码可以看到

Batch 初始化的时候,主要有两个参数,一个是读取配置信息,properties,另一个是 component 这里传入的是 EnvironmentInformation ,环境信息的类,主要保存的是scanner的版本。

然后开始执行 execute 方法,加了同步锁。

然后执行 GlobalContainercreateexecute 方法。顾名思义,一个是实例化类的方法,另一个是执行的方法。

public static GlobalContainer create(Map<String, String> scannerProperties, List<?> extensions) {
   
    GlobalContainer container = new GlobalContainer(scannerProperties);
    container.add(extensions);
    return container;
  }

............
@Override
  public ComponentContainer add(Object... objects) {
   
    for (Object object : objects) {
   
      if (object instanceof ComponentAdapter) {
   
        addPicoAdapter((ComponentAdapter) object);
      } else if (object instanceof Iterable) {
   
        // 递归,重复注入
        add(Iterables.toArray((Iterable) object, Object.class));
      } else {
   
        addSingleton(object);
      }
    }
    return this;
  }

........
public ComponentContainer addComponent(Object component, boolean singleton) {
   
    Object key = componentKeys.of(component);
    if (component instanceof ComponentAdapter) {
   
      pico.addAdapter((ComponentAdapter) component);
    } else {
   
      try {
   
        pico.as(singleton ? Characteristics.CACHE : Characteristics.NO_CACHE).addComponent(key, component);
      } catch (Throwable t) {
   
        throw new IllegalStateException("Unable to register component " + getName(component), t);
      }
      declareExtension("", component);
    }
    return this;
  }

执行 add 方法时,可以看到一些关键字,例如 container/singleton ,其实可以推断出,他这个地方是使用了一个依赖注入的一个框架,类似于我们现在频繁使用的 Spring ,如果是可迭代的对象 Iterable ,那就会进入递归调用里,循环注入。如果是其他类型,例如我们传入的 EnvironmentInformation 就会注入为一个单例的对象。

这里使用到的框架为 picocontainer

官网:http://picocontainer.com/introduction.html

介绍:PicoContainer是非常轻量级的Ioc容器,提供依赖注入和对象生命周期管理的功能,纯粹的小而美的Ioc容器。而Spring是Ioc+,提供如AOP等其他功能,是大而全的框架,不只是Ioc容器。

推测使用该框架的原因是,轻量级或者SonarQubu创始人比较熟悉,所以使用了该框架,看起来目前已经不怎么更新维护了,目前SonarQube也没有替换的动作。我们就把它当作成一个Spring框架来看即可。

接着看 execute 方法

public void execute() {
   
    try {
   
      startComponents();
    } finally {
   
//    手动销毁注入过的容器
      stopComponents();
    }
  }

// 模版设计模式
/**
   * This method MUST NOT be renamed start() because the container is registered itself in picocontainer. Starting
   * a component twice is not authorized.
   */
  public ComponentContainer startComponents() {
   
    try {
   
      // 调用子类 GlobalContainer/ProjectScanContainer 的方法
      doBeforeStart();
      // 手动启动容器
      pico.start();
      // 调用子类 GlobalContainer/ProjectScanContainer 的方法
      doAfterStart();
      return this;
    } catch (Exception e) {
   
      throw PicoUtils.propagate(e);
    }
  }

......
@Override
  protected void doBeforeStart() {
   
    GlobalProperties bootstrapProps = new GlobalProperties(bootstrapProperties);
    GlobalAnalysisMode globalMode = new GlobalAnalysisMode(bootstrapProps);
    // 注入
    add(bootstrapProps);
    add(globalMode);
    addBootstrapComponents();
  }

// 依次注入
private void addBootstrapComponents() {
   
    Version apiVersion = MetadataLoader.loadVersion(System2.INSTANCE);
    SonarEdition edition = MetadataLoader.loadEdition(System2.INSTANCE);
    DefaultAnalysisWarnings analysisWarnings = new DefaultAnalysisWarnings(System2.INSTANCE);
    LOG.debug("{} {}", edition.getLabel(), apiVersion);
    add(
      // plugins
      ScannerPluginRepository.class,
      PluginClassLoader.class,
      PluginClassloaderFactory.class,
      ScannerPluginJarExploder.class,
      ExtensionInstaller.class,
      new SonarQubeVersion(apiVersion),
      new GlobalServerSettingsProvider(),
      new GlobalConfigurationProvider(),
      new ScannerWsClientProvider(),
      DefaultServer.class,
      new GlobalTempFolderProvider(),
      DefaultHttpDownloader.class,
      analysisWarnings,
      UriReader.class,
      PluginFiles.class,
      System2.INSTANCE,
      Clock.systemDefaultZone(),
      new MetricsRepositoryProvider(),
      UuidFactoryImpl.INSTANCE);
    addIfMissing(SonarRuntimeImpl.forSonarQube(apiVersion, SonarQubeSide.SCANNER, edition), SonarRuntime.class);
    addIfMissing(ScannerPluginInstaller.class, PluginInstaller.class);
    add(CoreExtensionRepositoryImpl.class, CoreExtensionsLoader.class, ScannerCoreExtensionsInstaller.class);
    addIfMissing(DefaultGlobalSettingsLoader.class, GlobalSettingsLoader.class);
    addIfMissing(DefaultNewCodePeriodLoader.class, NewCodePeriodLoader.class);
    addIfMissing(DefaultMetricsRepositoryLoader.class, MetricsRepositoryLoader.class);
  }

@Override
  protected void doAfterStart() {
   
// 安装插件
    installPlugins();
// 使用类加载器加载
    loadCoreExtensions();

    long startTime = System.currentTimeMillis();
    String taskKey = StringUtils.defaultIfEmpty(scannerProperties.get(CoreProperties.TASK), CoreProperties.SCAN_TASK);
    if (taskKey.equals("views")) {
   
      throw MessageException.of("The task 'views' was removed with SonarQube 7.1. " +
        "You can safely remove this call since portfolios and applications are automatically re-calculated.");
    } else if (!taskKey.equals(CoreProperties.SCAN_TASK)) {
   
      throw MessageException.of("Tasks support was removed in SonarQube 7.6.");
    }
    String analysisMode = StringUtils.defaultIfEmpty(scannerProperties.get("sonar.analysis.mode"), "publish");
    if (!analysisMode.equals("publish")) {
   
      throw MessageException.of("The preview mode, along with the 'sonar.analysis.mode' parameter, is no more supported. You should stop using this parameter.");
    }
    new ProjectScanContainer(this).execute();

    LOG.info("Analysis total time: {}", formatTime(System.currentTimeMillis() - startTime));
  }

梳理一下,这里就是把要启动的类作注入进去,然后手动调用启动的方法。

最后真正的执行方法是 new ProjectScanContainer(this).execute();

这个类 ProjectScanContainer 同样和 GlobalContainer 都继承自 ComponentContainer ,所以父类的 execute 方法里的 doBeforeStart doAfterStart 他们将其重写了。这里其实用到了一个设计模式,就是模版设计模式,父类实现了一个 execute 方法,但是子类不能覆盖,该方法内的其他方法,子类是可以覆盖的,这就是模版设计模式

请添加图片描述

我们主要看下 ProjectScanContainer 这个类,这个是执行扫描的类,可以看到这几个方法

我们回顾一下父类的这几个方法

// ComponentContaienr
  public ComponentContainer startComponents() {
   
    try {
   
      // 调用子类 GlobalContainer/ProjectScanContainer 的方法
      doBeforeStart();
      // 手动启动容器
      pico.start();
      // 调用子类 GlobalContainer/ProjectScanContainer 的方法
      doAfterStart();
      return this;
    } catch (Exception e) {
   
      throw PicoUtils.propagate(e);
    }
  }
  1. doBeforeStart()
  2. pico.start()
  3. doAfterStart()

所以,我们按照这个顺序看一下这些方法

// ProjectScanContainer
@Override
  protected void doBeforeStart() {
   

// 加载插件相关类
    addScannerExtensions();

// 重要,加载扫描的组件
    addScannerComponents();
// 仓库文件锁,检测是否有相同的扫描
    ProjectLock lock = getComponentByType(ProjectLock.class);
    lock.tryLock();
// 初始化工作目录
    getComponentByType(WorkDirectoriesInitializer.class).execute();
  }

private void addScannerExtensions() {
   
    getComponentByType(CoreExtensionsInstaller.class)
      .install(this, noExtensionFilter(), extension -> getScannerProjectExtensionsFilter().accept(extension));
    getComponentByType(ExtensionInstaller.class)
      .install(this, getScannerProjectExtensionsFilter());
  }

// 加载需要的组件
private void addScannerComponents() {
   
    add(
      ScanProperties.class,
      ProjectReactorBuilder.class,
      WorkDirectoriesInitializer.class,
      new MutableProjectReactorProvider(),
      ProjectBuildersExecutor.class,
      ProjectLock.class,
      ResourceTypes.class,
      ProjectReactorValidator.class,
      ProjectInfo.class,
      new RulesProvider(),
      new BranchConfigurationProvider(),
      new ProjectBranchesProvider(),
      new ProjectPullRequestsProvider(),
      ProjectRepositoriesSupplier.class,
      new ProjectServerSettingsProvider(),

      // temp
      new AnalysisTempFolderProvider(),

      // file system
      ModuleIndexer.class,
      InputComponentStore.class,
      PathResolver.class,
      new InputProjectProvider(),
      new InputModuleHierarchyProvider(),
      ScannerComponentIdGenerator.class,
      new ScmChangedFilesProvider(),
      StatusDetection.class,
      LanguageDetection.class,
      MetadataGenerator.class,
      FileMetadata.class,
      FileIndexer.class,
      ProjectFileIndexer.class,
      ProjectExclusionFilters.class,

      // rules
      new ActiveRulesProvider(),
      new QualityProfilesProvider(),
      CheckFactory.class,
      QProfileVerifier.class,

      // issues
      DefaultNoSonarFilter.class,
      IssueFilters.class,
      IssuePublisher.class,

      // metrics
      DefaultMetricFinder.class,

      // lang
      Languages.class,
      DefaultLanguagesRepository.class,
最低0.47元/天 解锁文章
ewferferr
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java源码剖析-sonarscanner-maven-basic:SonarQube是开放源代码,可以持续检查代码质量。Sonar是用于基于
05-19
java源码剖析基本的Maven示例 这个简单的Maven项目正在导入JaCoCo的覆盖率报告。 有关多模块项目示例,请参见 用法 使用SonarQube Scanner for Maven构建项目,执行所有测试并分析项目(从项目的根目录开始): mvn clean verify sonar:sonar 文献资料 运行SonarQube的步骤: 拉docker镜像并运行命令-> docker pull sonarqube:8.7.1-community 该过程开始运行后,请导航以查看用户界面 通过UI生成令牌。 您可以在“用户”>“我的帐户”>“安全性”中生成新令牌。 运行命令以生成报告 mvn clean verify sonar:sonar -Dsonar.login= < Token generated in Step 3. > 导航 请参阅下面的链接以获取更多详细信息:
SonarScanner 源码分析
ewferferr的博客
09-23 1574
SonarScanner 源码分析 title: SonarScanner 源码分析 date: 2020-11-24 14:00:00 author: mamian521#gmail.com 介绍: SonarQube是一个静态代码扫描平台,支持主流语言的静态代码扫描分析SonarQube主要分为几个模块:WebServer、CeServer、Scanner 今天主要对 Scanner 分析一下源码,其中Scanner是在本地执行扫描分析的工具,也就是说SonarScanner是在本地执行扫描分析
sonar-scanner debug 模式设置(sonar-scanner调试)
lxlmycsdnfree的博客
12-04 1351
有的sonarQube 版本(sonarQube 6.2没有): 源码管理配置完成后,选择构建步骤Execute SonarQube Scanner, Execute SonarQube Scanner 可以配置debug模式!!! 我目前使用的6.2版本没有,还是哪地方需要设置或者配置。 只有invoke standlone sonar analysis.
sonarqube5.6.7+sonar-scanner-2.8.zip + sonar-l10n-zh-plugin-1.11.rar 配套和配置文件
07-05
sonarqube5.6.7+sonar-scanner-2.8.zip + sonar-l10n-zh-plugin-1.11.rar jdk1.8 ,你的可以本机可以是1.7 只要指定下 sonarqube的运行指向jdk1.8就可以 详情看下配置文件 配套,找了挺久的,这两个版本完美配合,现在新的版本, 要求的内存太高,我的机器搞不了,部署时候记得jdk的路径,还有就是配置ip记得要0.0.0.0 否则外网访问不了, sonarqube5.6.7太大了上不安不了,我放到百度云了,下载有个记事本 1、将加压包中的两个配置文件覆盖到压缩包中,(配置做些修改该 ,第一修改jdk路径,第二修改mysql数据连接) 2、将sonar-l10n-zh-plugin-1.11.rar 解压 ,将jar放到sonarqube-5.6.7/extensions 这个是汉化 3、配置sonar-scanner(如果SonarQube和Sonar-scanner不在同一台服务器,修改/sonar-scanner-2.8/conf/sonar-scanner.properties) sonar.host.url=http://sonarQubeIP:9000 sonar.jdbc.username=test sonar.jdbc.password=1234 sonar.jdbc.url=jdbc:mysql://数据库IP:3306/sonar?useUnicode=true&characterEncoding=utf8
Sonarqube源码解析
HenryXiao的博客
05-24 5148
Sonarqube 一、简介 SonarQube 是一种自动代码审查工具,用于检测代码中的错误、漏洞和代码异味。它可以与您现有的工作流程集成,以实现跨项目分支和拉取请求的持续代码检查 二、组成 Sonar主要由sonar-scannersonar-server两个部分组成 sonar-scanner作用主要是负责代码扫描 sonar-server作用是负责sonar web展示工作、数据库交互工作、扫描计算工作、规则存储工作、第三方插件打通等 Sonar-scanner源码 一、地址 GitHub:
sonar-scanner-jenkins.hpi
08-03
https://github.com/jenkinsci/sonarqube-plugin 自己也从github下载,编译
sonar-scanner-cli-4.4.0.2170-linux.zip
09-10
国外网站下载太慢了,放到这里存着吧! sonarqube的sonar-scanner-cli-4.4.0.2170-linux,目前为止最新的版本,下载完成之后unzip解压即可!
sonar-scanner-cli-4.6.0.2311-linux.zip
02-18
见名思意,配合sonarqube扫描使用
sonar-scanner-3.0.3.778-windows.zip
07-10
这个是没有bug版本 可用 介绍地址 https://blog.csdn.net/u013177381/article/details/95226414
sonar-scanner.zip
08-05
SonarScanner的下载、配置和目本地扫描的方法,希望对大家的工作和学习有所帮助
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 807
都是符合我们的预期的。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 871
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1811
c++中string的模拟实现,面试必会知识点
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 858
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1074
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
C语言案例——输出 Fibonacci 数列(斐波那契数列)的前 40 项
悟道子HD
04-25 488
输出 Fibonacci 数列(斐波那契数列)的前 40 项 #include void main() { int a[40]= {1,1}; int i; printf( "%12d%12d",a[0],a[1]); for(i=2; i
PageHelper实现分页查询
m0_63849044的博客
04-24 1119
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后会被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 355
待更新。
sonar-scanner
01-25
sonar-scanner是一个静态代码分析工具,用于帮助开发人员和团队发现并修复代码中的问题。它可以通过扫描源代码和执行静态代码分析,识别潜在的代码缺陷、漏洞、重复代码和安全漏洞,并提供可行的解决方案。sonar-scanner可以通过各种配置和规则来定制分析的范围和方式,以满足不同项目和团队的需求。 使用sonar-scanner可以帮助团队提高代码质量和稳定性,减少潜在的漏洞和错误,从而降低维护成本和提升项目整体的可维护性。此外,sonar-scanner还可以生成详细的报告和可视化的图表,帮助团队了解代码质量和安全性的情况,并优先处理和解决重要的问题。 sonar-scanner支持多种编程语言和平台,包括Java、C#、JavaScript、Python等,可以适用于不同类型的项目。同时,它还可以与持续集成和持续交付工具集成,实现自动化的代码分析和检测,进一步提高开发效率和质量管理。 总之,sonar-scanner是一个强大的代码质量管理工具,可以帮助团队及时发现和解决代码中的问题,提高项目的可维护性和可靠性,是现代软件开发过程中不可或缺的利器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值