基于Docker构建CI/CD工具链(九)使用Sonar进行代码扫描

最新推荐文章于 2024-04-28 01:53:11 发布
最新推荐文章于 2024-04-28 01:53:11 发布
阅读量699 收藏 19
点赞数 11
文章标签: docker ci/cd java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiajw0426/article/details/137724943
版权

本介绍使用docker启动Sonarqube然后使用Gitlab的CI/CD驱动代码扫描。

启动Sonarqube

  1. 创建目录
mkdir -p ~/sonar/{data,extensions,logs}

data 文件夹用于存储 SonarQube 的数据,例如分析结果、项目配置等。
extensions 文件夹用于存储 SonarQube 的扩展插件。
logs 文件夹用于存储 SonarQube 的日志文件。


docker run -d --name sonarqube \
    --restart always \
    -p 9000:9000 \
    -v ~/sonar/data:/opt/sonarqube/data \
    -v ~/sonar/extensions:/opt/sonarqube/extensions \
    -v ~/sonar/logs:/opt/sonarqube/logs \
    sonarqube:lts-community

在 Docker 中运行 SonarQube 服务。它指定了容器的名称为 “sonarqube”,并将其配置为始终在后台运行。此外,它将容器内部的 9000 端口映射到主机的 9000 端口,同时将主机的 /sonar/data、/sonar/extensions 和 ~/sonar/logs 目录挂载到容器内部,以实现 SonarQube 数据、扩展和日志的持久化存储。所使用的 SonarQube 镜像版本是 “lts-community”

请添加图片描述

Gitlab增加个人访问令牌

在 GitLab 个人设置页面,选择 “访问令牌”,在页面中使用“添加新令牌”,即可生成个人访问令牌。这个令牌可以用于执行 API 请求或代替密码进行身份验证。确保保存好令牌并仅授予必要的权限

请添加图片描述

请添加图片描述

Sonar

Sonar创建工程

登录sonar,首次登入用户和密码都是admin,根据提示需要修改密码。进入主页后便可以从gitlab导入新的项目。
请添加图片描述

请添加图片描述

创建用户Token

登录到 SonarQube 管理界面,然后点击用户名旁边的下拉箭头,选择 “My Account”。在个人资料页面,点击 “Security” 标签,然后选择 “Generate Tokens”。输入令牌名称并选择要授予的权限,然后点击 “Generate”。生成的令牌将显示在页面上,确保保存好令牌,因为它将不再显示。
请添加图片描述

修改项目代码

扫描脚本

#!/bin/bash
# 获取当前目录路径,用于后续挂载到 Docker 容器中
APP_ROOT=$(pwd)


docker run --rm \
    -v /home/copier/.m2/:/root/.m2/ \
    -v $APP_ROOT:/app \
    -w /app \
    maven:3.8.5-openjdk-17 mvn  \
    -Dsonar.login=squ_a049d8a389ad7a702e25d2f768e5c20ed9fe127e \
    -Dsonar.host.url=http://192.168.3.52:9000/ \
    -Dsonar.projectKey=springdemo \
    compile sonar:sonar

和前面方式一项新建scan.sh,内容说明:
这段脚本是一个 Bash 脚本,用于在 Docker 中运行 Maven 构建,并将项目代码挂载到容器中进行 SonarQube 分析。让我逐步解释:

  1. APP_ROOT=$(pwd): 这一行将当前目录路径保存在变量 APP_ROOT 中,以便后续将其挂载到 Docker 容器中。

  2. -v /home/copier/.m2/:/root/.m2/ \: 这个选项指定了将宿主机的 Maven 本地仓库目录 /home/copier/.m2/ 挂载到容器内的 /root/.m2/ 目录,以便在容器中使用宿主机的 Maven 本地仓库缓存。

  3. -v $APP_ROOT:/app \: 这个选项将宿主机的当前目录挂载到容器内的 /app 目录,以便在容器中访问项目代码。

  4. -w /app \: 这个选项设置容器的工作目录为 /app

  5. maven:3.8.5-openjdk-17: 这是指定要在容器中运行的 Maven 镜像,版本是 3.8.5,使用 OpenJDK 17。

  6. -Dsonar.login=squ_a049d8a389ad7a702e25d2f768e5c20ed9fe127e \: 这是向 Maven 传递的 SonarQube 访问令牌,用于身份验证。

  7. -Dsonar.host.url=http://192.168.3.52:9000/ \: 这是向 Maven 传递的 SonarQube 服务器地址。

  8. -Dsonar.projectKey=springdemo \: 这是向 Maven 传递的 SonarQube 项目密钥,用于标识项目。

  9. compile sonar:sonar: 这是 Maven 的目标命令,compile 表示编译项目,sonar:sonar 表示执行 SonarQube 分析。

请添加图片描述

修改pom.xml

集成sonar的maven插件到pom.xml文件中

<plugin>
   <groupId>org.sonarsource.scanner.maven</groupId>
   <artifactId>sonar-maven-plugin</artifactId>
   <version>3.9.0.2155</version>
</plugin>

CI/CD JOB

.gitlab-ci.yml文件增加如下内容,compile阶段执行scan.sh进行代码扫描

stages:
  - compile  
  - build
  - test

scan:
  stage: compile
  script:
    - sh ./scripts/scan.sh

执行扫描

提交代码后,gitlab job会自动执行。
请添加图片描述

登录Sonar可以查看扫描结果
请添加图片描述

代码转场工程师
关注
  • 11
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
代码审查工具SonarQube详解
知识库总结、分享
06-07 6057
Sonar Qube可以与多种软件整合进行代码扫描,比如Maven,Gradle,Git,Jenkins等,并且会将代码检测结果推送回Sonar Qube并且在系统提供的UI界面上显示出来一个 SonarQube 实例包含三个组件:为什么选择PostgreSQL不支持mysql?系统安装条件:如果您在 Linux 上运行,则必须确保:修改/etc/sysctl.conf 添加vm.max_map_count = 524288 不修改vm.max_map_count报错提示: 默认admin密码admin登录
Java代码质量分析Sonar
赵广陆
06-18 4303
目录 1. sonar安装 1.1 简介 1.1.1 客户端 1.1.2 sonar 版本区分 1.1.2.1 社区版 1.1.2.2 开发者版 1.1.2.3 企业版 1.2 安装部署 1.2.1 修改文件句柄数 1.2.2 创建挂载目录 1.2.3 创建docker-compose.yml 1.2.4 启动 1.2.4.1 访问测试 1.2.5 安装插件 1.2.5.1 汉化插件 1.3 静态分析插件介绍 1.3.1 什么是静态代码分析 1.3.1.1 静态代码分析优势
2024新版SonarQube+JenKins+Github联动代码扫描(3)-三者联动配置最终章_怎么使用sonarqube扫描github上的项目
最新发布
2401_84254530的博客
04-28 945
终于来到最后了。前面的两篇文章都是配置项,务必能成功启动和运行,才可以进行第三步的联动配置。SonarQube+JenKins+Github三者之间的自动化构建代码扫描,听起来确实是非常高效率的,但是网上文章都是老版本,很多都是2018左右的版本,照着他们的步骤来,在2024年的今天,新版是完全不一样了,所以我当初配置的时候,也是花了2天的时间,最后总结成3篇文章,供大家参考。2024新版SonarQube+JenKins+Github联动代码扫描(1)-JenKins安装与配置。
代码质量检测-SonarQube
weixin_40559666的博客
11-30 1万+
SonarQube快速上手使用集成gitlab流水线控制
sonar的详细介绍(1)
weixin_44249280的博客
01-02 1579
一种自动静态代码审查工具,用于检测代码中的错误、漏洞和代码异味。可靠性:发现代码中的潜在bug安全性:发现代码中的安全漏洞可维护性:发现代码中不符合代码编写规范的地方单元测试:可以统计并展示单元测试的覆盖率重复:可以统计并展示重复的行,块,密度等数据注释:可以统计并展示代码的行数,注释的行数,占比等数据 、复杂度:可以显示代码的圈复杂度和认知复杂度。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 614
任务环境说明:服务器场景:Server1。
基于DockerCI/CD流水线实践
02-25
那么该篇内容主要讲解如何借助开源工具结合CI/CD的场景,将Docker融入到部署单元中去,进行持续集成、测试到最终的持续部署,开发人员最终只需要去关注业务的访问入口就可以知道业务是否正常,并可以通过一系列的...
基于OpenStack+Docker设计与实现CI/CD
02-20
本文所述内容的背景是,基于Docker容器技术的OpenStack研发、测试、运维及其相关的CI/CD、DevOps等活动。思想是相通的,读者可以取其可用部分用于自己的业务需求中。IaaS云和容器云不是可有可无、相互竞争的关系,...
基于Docker、Kubernetes实现高效可靠的规模化CI/CD流水线的搭建
01-27
高效可靠的CI/CD流水线是一个IT组织实现软件服务快速交付的基础,现如今大量企业采用 jenkins集群来搭建其交付流水线。然而,如何管理大量JenkinsSlave的差异化?如何简单快速实现Jenkins能力的横向扩展?如何实现...
sonar静态扫描安全靶场webgoat
seanyang_的博客
11-21 2302
安装sonar并配置对webgoat进行sonar扫描扫描结果。
代码扫描sonar平台解读说明
08-04
里面sonar的配置及常见问题进行了描述,相信我,对你有很大的帮助,
SonarQube代码扫描
qq_31055683的博客
08-17 9172
sonarqube 代码扫描
使用SonarQube实现自动化代码扫描
08-10 5978
  Sonar是一个用于代码质量管理的开源平台,通过插件机制,Sonar可与第三方工具进行集成。将Sonar引入到代码开发的过程中,提供静态源代码安全扫描能力,这无疑是安全左移的一次很好的尝试和探索。 1、安装Findbugs插件 Sonar有自己的默认的扫描规则,可通过安装Findbugs插件,来提升代码漏洞扫描能力。 (1)进入配置-->应用市场,搜索Findbugs,点击安装即可。 ...
sonar 代码扫描
meijunhui的博客
09-06 6456
到官网下载 sonar-scanner scanner支持maven插件形式, jenkins,此处使用的是基于命令行的,不依赖于其他 官网下载scanner的zip包,解压 进入conf,打开sonar-scanner.properties 文件 此处,host.url是服务器地址,因为sonar扫描的结果会上传到服务器 配置环境变量
Sonar扫描python代码
seanyang_的博客
03-31 3279
本文介绍使用sonar扫描本地Python项目的代码,生成报告。 sonar新建项目 新建项目,填写项目名称和key,这个后续会用到。 生成token 下载Scanner 点进链接,下载scanner。并解压,将bin的路径添加至环境变量。目的:在系统任何位置都能找到scanner命令。 扫描方式一: 在项目根目录创建sonar-project.properties文件,填写配置。目的:扫描后生成的报告,上传至sonar上的ProjectKey为test的项目...
sonarqube基础:扫描规则:3: 指定Quality Profile进行代码扫描
知行合一 止于至善
11-04 1万+
这篇文章以前面创建的Spring boot2的web应用为例,使用自定义的Quality Profile来进行质量的检查。 事前准备 关于spring boot+maven+jacoco+sonarqube+junit等相关基础,请参看 spring快速入门系列中的整理,此处不再赘述。 spring快速入门: https://blog.csdn.net/column/details/13907....
静态代码扫描平台SonarQube简介
热门推荐
SailWu的自动化测试技术博客
03-10 3万+
静态代码扫描这个词对很多人来说并不陌生,从字面上理解就是检查项目的源码,从源码中找出代码存在的缺陷:潜在的bug,未使用代码,复杂的表达式,重复的代码等。 把静态代码扫描引入到自动化测试工作中,需要感谢公司楼上一个同行哥们。在工具的选择上也纠结了一段时间,公司的产品有PC端,Web端和移动端,也就意味着需要扫描的源码有多种语言,C,C++,c#,Java,Object C,就需要有一个平台可以同
使用Sonarqube扫描Javascript代码
知行合一 止于至善
12-25 1万+
使用sonarqube对javascript代码进行扫描,分析代码质量,最简单的方式莫过于使用缺省的sonar-way中的javascript的规则,使用sonar-scanner进行扫描,这篇文章通过最简单的例子,来进行说明。
jenkins docker实现ci/cd
08-25
Jenkins和Docker可以结合使用来实现CI/CD(持续集成/持续交付)流程。下面是一种常见的实现方式: 1. 安装和配置Jenkins:首先,你需要在你的服务器或本地机器上安装和配置Jenkins。你可以按照Jenkins官方文档提供的步骤进行安装和配置。 2. 安装Docker:接下来,你需要安装Docker,并确保Docker服务正在运行。你可以根据你的操作系统在Docker官方网站上找到相应的安装说明。 3. 创建Jenkins的CI/CD Pipeline:在Jenkins中,你可以创建一个Pipeline来定义你的CI/CD流程。Pipeline是一种将多个步骤组合在一起的方式,可以通过代码进行定义和版本控制。你可以使用Jenkins的Pipeline语法或者使用Jenkins插件来定义你的Pipeline。 4. 定义Jenkins Pipeline中的步骤:在你的Pipeline中,你可以定义多个步骤来完成CI/CD流程。以下是一个可能的步骤示例: - 从代码仓库拉取代码 - 构建Docker镜像 - 运行单元测试 - 部署到测试环境 - 运行集成测试 - 部署到生产环境 5. 使用Docker构建和管理镜像:在上述步骤中,使用Docker构建和管理镜像是关键。你可以使用Dockerfile来定义镜像的构建过程,并使用Jenkins Pipeline中的相关步骤来执行构建。 6. 集成其他工具:你可以通过Jenkins插件或其他方式集成其他工具,如代码质量检查工具、部署工具等,以实现更完整的CI/CD流程。 这只是一个简单的概述,实际的CI/CD流程可以根据你的项目需求和团队实践进行定制和扩展。希望对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码转场工程师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值