开发工具:静态代码扫描工具sonarqube

最新推荐文章于 2024-08-13 06:00:00 发布
最新推荐文章于 2024-08-13 06:00:00 发布
阅读量1.2k 收藏
点赞数
分类专栏: 开发工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_39353936/article/details/104304494
版权
本文档介绍了如何配置和使用SonarQube进行代码静态分析,涵盖了从环境准备、配置SonarQube服务器,到通过SonarQube Runner和Maven进行代码分析的步骤。此外,还讲解了在IntelliJ IDEA中使用SonarLint和SonarQube插件的方式,以及分析代码获取结果的过程。
摘要由CSDN通过智能技术生成

文章目录

1.准备环境

  • jdk8
  • sonarqube7.2.1

sonarqube server

2.配置

2.1 配置sonarqube

解压 sonarqube,编辑 conf 目录下的 sonar.properties 文件,配置数据库连接和 sonarqube 的登录信息

#数据库配置
sonar.jdbc.url=jdbc:mysql://xxxx:3306/tableName?useUnicode=true&characterEncoding=utf8
sonar.jdbc.username=xxx
sonar.jdbc.password=xxxx
# 连接池根据自己实际情况配置
sonar.jdbc.maxActive=30
sonar.jdbc.maxIdle=5
sonar.jdbc.minIdle=2
sonar.jdbc.maxWait=5000
sonar.jdbc.minEvictableIdleTimeMillis=600000
sonar.jdbc.timeBetweenEvictionRunsMillis=30000

#web server配置
#jvm配置
sonar.web.javaOpts=-Xmx512m -Xms128m -XX:+HeapDumpOnOutOfMemoryError
#绑定主机ip配置
sonar.web.host=0.0.0.0
#访问端口配置
sonar.web.port=9000
#连接配置
sonar.web.http.maxThreads=50
sonar.web.http.minThreads=5
sonar.web.http.acceptCount=25
#session超时配置,单位分钟,不能多于3个月
sonar.web.sessionTimeoutInMinutes=4320

#计算引擎配置 
#jvm配置
sonar.ce.javaOpts=-Xmx512m -Xms128m -XX:+HeapDumpOnOutOfMemoryError
#worker个数,需要考虑资源的消耗
sonar.ce.workerCount=1

#Elasticsearch配置 
#jvm
sonar.search.javaOpts=-Xmx1G -Xms256m -Xss256k -Djna.nosys=true -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly XX:+HeapDumpOnOutOfMemoryError
#http port and host
sonar.search.port=9001
sonar.search.host=127.0.0.1

#登录设置
sonar.sorceEncoding=UTF-8
sonar.login=admin
sonar.password=admin

依次以管理员身份运行 “D:\sonarqube-7.2.1\bin\windows-x86-64” 目录下的前 3 个 bat 命令,其中 StartSonar.bat是启动 sonarqube 服务。在浏览器输入 http://localhost:9000,如果看到如下页面则配置成功。

01

注意,由于首次连接数据库的原因,需要等待一段时间。

2.2 运行 sonarqube

使用默认密码,admin, admin登录。

02
安装汉化包(非必须)
03
安装完成重启后的页面
04

3.代码分析

3.1 Analyzing with SonarQube Runner

该方法适用于所有不同架构的项目,包括没有使用任何源代码管理工具的项目形式,以及使用各种不同代码管理工具(SVN、Git、ClearCase 等)和编译工具(ant,maven)的项目形式,它都能够适用。

下载工具
解压安装后,将 bin 配置到系统的环境变量里去 。

3.1.1 配置sonar-scanner

#----- Default SonarQube server
sonar.host.url=http://localhost:9000

#----- Default source code encoding
sonar.sourceEncoding
最低0.47元/天 解锁文章
贫道法号说不得
关注
专栏目录
【项目实战】使用DevOps工具SonarQube实现静态代码扫描,并且导出相应的报告
本本本添哥
04-22 1410
下面是它们的区别:静态代码扫描是一种分析源代码的方法,它不需要运行代码。 它通过检查代码中的语法、结构和规则来查找潜在的问题。 静态代码扫描可以自动化执行,并且可以在代码提交之前或在构建过程中进行。 它可以帮助开发人员发现代码中的潜在问题,并提供修复建议。在Java中,您可以使用静态代码分析工具,例如Sonar、FindBugs或Checkstyle,来执行静态代码扫描。 这些工具可以检查代码中的常见问题,例如空指针引用、未使用的变量和不良的代码风格。动态代码扫描是一种分析正在运行的代码的方法。 它通过模拟
python静态分析工具_7 个顶级静态代码分析工具
weixin_35801512的博客
12-23 2647
作者丨 Saif Sadiq策划丨田晓旭静态代码分析或源代码分析是指使用静态代码分析工具对软件的 " 静态 " ( 不运行的 ) 代码进行分析的一种方法,找出代码中潜在的漏洞。静态代码分析器检查源代码,找出特定的漏洞,并检查代码是否符合各种编码标准。1 为什么要进行静态代码分析?在执行代码之前获取代码洞见;与动态分析相比,执行速度更快;可以对代码质量维护进行自动化;在早期阶段 ( 尽管不是所有阶段...
2024新版SonarQube+JenKins+Github联动代码扫描(2)-SonarQube代码扫描
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-05 1172
这是2024新版SonarQube+JenKins+Github联动代码扫描专题的第二部分,也是核心内容,SonarQube目前是半开源,可以自定义漏洞扫描规则,这个后面有时间可以出一篇教程,本文主要是讲2024最新版的配置和如何进行代码扫描。提示:以下是本篇文章正文内容,下面案例可供参考JenKins安装与配置是SonarQube+JenKins+Github联动代码扫描的第二步。2024新版SonarQube+JenKins+Github联动代码扫描(1)-JenKins安装与配置。
9 个最佳 Java 静态代码分析工具
最新发布
欢迎拜读我的作品,喜欢的领域请给我留言
08-13 2007
使用顶级 Java 静态代码分析工具列表来提高您的代码质量 - 确保您的代码干净、高效且无错误。开发人员如何防止频繁出现应用程序故障?自动化分析可能是答案。Java 静态代码分析工具有助于检测任何问题或,并通过自动化代码审查流程来帮助提高我们将探索一些市场上最好的工具,这些工具可以增强工作流程并创建更强大的代码。什么是静态代码分析?静态代码分析是一种无需执行源代码即可对其进行检查的技术。通过根据编码规则分析代码集,这种高级静态分析工具可以读取代码中的错误并确保其符合标准和最佳实践。
实例----使用jenkins集成sonarqube实现代码扫描
Wsjm666的博客
12-26 894
实例----使用jenkins集成sonarqube实现代码扫描
jenkins集成Sonar静态代码扫描
khcsnmbs的博客
09-01 860
1、jenkins安装插件: SonarQube Scanner: 用于使用jenkins进行代码扫描 SonarQube Quality Gates Plugin: 用户扫描后通过代码质量控制jenkins任务的成功与失败 2、配置sonar服务: 系统管理 → 系统配置: 配置Quality-Gates 3、jenkins任务配置: 配置sonar所需参数对应的值: 配置扫描时打包脚本命令 ...
深入研究SVN代码检查的关键工具:svnchecker vs. SonarQube
热门推荐
唯有努力,方可自信!
11-12 1万+
这篇博客中,我们将深入研究SVN代码检查的关键工具,聚焦于svnchecker和SonarQube的比较与应用。通过全面剖析它们在SVN项目中的作用,我们将揭示它们在提高代码质量、预防潜在缺陷和促进团队协作方面的独特优势。文章将详细讨论svnchecker和SonarQube的功能特色、优缺点,并指导读者如何在实际项目中选择最适合的工具。无论是追求高效的代码审查流程还是通过自动化工具优化开发流程,本文都将为读者提供实用的见解和建议。通过这篇博客,读者将能够更全面地了解svnchecker和SonarQube
静态代码扫描工具java_静态代码扫描工具 - sonarQube (四) - 扫描 java 项目
weixin_39870413的博客
02-26 713
扫描配置 - 扫描 Java 项目1、准备好 Java 项目代码只要是 Java 语言实现的项目均可。比如,自动化测试的代码,测试平台等均可以。本次案例,使用 Java 语言实现的测试平台来做为扫描对象。 2、了解 Java 项目代码的结构。为什么要了解项目代码结构呢?区分出来,哪些是开发人员写的代码,哪些是引用的第三方包或配置文件等。sonarQube 主要是分析开发人员写的代码质量,对于外部的...
deploy-sonar代码扫描分析工具
03-01
《部署SonarQube:深度解析代码扫描与分析利器》 SonarQube是一款强大的开源代码质量管理工具,它集成了代码静态分析、复杂度计算、代码异味检测、漏洞查找等功能,帮助开发者在软件开发过程中发现并修复代码问题,...
代码质量管理SonarQube实现Objective C静态代码扫描环境搭建总结
01-21
本文将详细介绍如何利用 SonarQube 和 OClint 工具搭建 Objective C 的静态代码扫描环境。 #### 二、SonarQube 简介 SonarQube(原名 Sonar)是一个用于代码质量管理的开源平台。它能够从七个维度全面检测代码质量...
Windows环境Tomcat+Jenkins+SVN+SonarQube.pdf
02-18
文档为本人学习时总结整理,主要部分为jenkins的配置。由于环境不同,在实施时可能会遇到各种不同的报错,但大体思路就是这样的。
SonarQube静态代码分析实战
任何技能都是从模仿开始,逐步升华。
04-04 1万+
Sonar是一个用于代码质量管理的开源平台,用于管理源代码的质量,可以从七个维度检测代码质量,可以通过使用插件机制与 eclipse 和 JIRA 等其他外部工具集成,从而实现了对代码的质量的全面自动化分析和管理。支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等二十几种编程语言的代码质量管理与检测。
Devops——Sonarqube+github构建
庄小焱
12-30 2161
摘要 在CICD的流程中对于的代码检查是必要的,在工程届中Sonarqube是必不可少的工作,在构建CICD的系统架构中Sonarqube能帮助我们实现相关的代码检查工作。接下来我介绍的Sonarqube的构建个使用,同时与github jeknins等工具一起构建CICD系统。 Sonarqube的简介 Sonarqube在doceker构建 Sonarqube在docker中的集群构建 Sonarqube与github的联合配置 博文参考 ............
Jenkins集成SonarQube与GitHub 实现代码质量管理
平凡的世界
11-24 707
# 简 介 在我们日常开发中,代码的质量往往很重要,SonarQube 是一个非常实用的代码质量检测管理工具,那如果实现自动化构建尼,在这里我们使用常用的jenkins来实现此功能; # 安 装 jenkins 怎么去安装 jenkins 不是本次的重点,可以去查看我写的安装文档 安装jenkins # 安装 SonarQube 怎么去安装 SonarQube 不是本次的重点,可以去查看我写的安装文档 安装SonarQube # 各个版本说明 JDK 1.8 Jenkins 2.249.3 SonarQu
sonarQube+sonarQube Scanner+SVN+jenkins的节点分布式配置
sankoudoudou的博客
12-20 2927
标题很长,其实最后的结果就是jenkins集成了sonar,scanner,svn并分布式的在不同的节点服务上build。 需求:1.实现代码扫描;2.jenkins集成sonar并自动扫描svn上的更新的代码;3.如果更新代码较多,出现排队,那么需要并发扫描,也就是配置jenkins节点。 疑问:当时出现的疑问就是我的sonar服务可以配置多个,但是scanner他的配置是服务器的相对路径,...
sonar mysql svn_SonarQube+Svn+Jenkins环境搭建—-问题总结
weixin_39834090的博客
01-19 225
1、配置SVN后提示unable to access to repository,原因是使用的账户没有访问svn的权限,创建新的用户即可。注意新的用户,用户名,密码要跟svn上的权限一致。创建路径: Jenkins–credentials—add credentials即可。description写svn路径,这样方便后续不同权限的区分。2、sonarqube server设置中Server au...
Docker+Jenkins+SVN+Tomcat+SonarQube构建之三:Jenkins建项目,打包发布到tomcat,同时生成sonarQube代码检查报告
ouyangxiaokang6的专栏
11-20 809
Jenkins的打包发布功能非常强大,有各种功能,我这里只配置最简单的打包发布和生成sonarQube报告,还有很多邮件通知,定时发布等功能,大家可以自己按照说明文档完成。 1.在Jenkins服务器上新建一个job 2,然后进入这个job,点设定,开始设定代码库,maven,sonarQube 首先设定代码库的地址,还有就是能checkout代码的用户名和密码。 随后我们配置maven执行代码编译和打包。 我们再build的部分选择,调用maven,然后选择我们配置的maven环境的..
sonar mysql svn_SonarQube的Android环境配置
weixin_28733651的博客
01-30 157
Sonar是一个用于代码质量管理的开源平台,用于管理源代码的质量,github源码。默认支持Java语言的静态代码审查,可以通过安装插件实现对绝大多数主流开发语言的代码审查,插件地址。还可以跟代码检查工具结果(例如 FindBugs,PMD 等)、持续集成工具(例如 Hudson/Jenkins 等)等集成起来,通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便...
静态代码扫描工具java_静态代码扫描工具
05-13
4. SonarQube:是一个开源的代码质量管理平台,可以集成多种静态代码扫描工具,提供全面的代码质量分析。 5. IntelliJ IDEA:是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 6. Eclipse:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值