本介绍使用docker启动Sonarqube然后使用Gitlab的CI/CD驱动代码扫描。
启动Sonarqube
- 创建目录
mkdir -p ~/sonar/{data,extensions,logs}
data
文件夹用于存储 SonarQube 的数据,例如分析结果、项目配置等。
extensions
文件夹用于存储 SonarQube 的扩展插件。
logs
文件夹用于存储 SonarQube 的日志文件。
docker run -d --name sonarqube \
--restart always \
-p 9000:9000 \
-v ~/sonar/data:/opt/sonarqube/data \
-v ~/sonar/extensions:/opt/sonarqube/extensions \
-v ~/sonar/logs:/opt/sonarqube/logs \
sonarqube:lts-community
在 Docker 中运行 SonarQube 服务。它指定了容器的名称为 “sonarqube”,并将其配置为始终在后台运行。此外,它将容器内部的 9000 端口映射到主机的 9000 端口,同时将主机的 /sonar/data、/sonar/extensions 和 ~/sonar/logs 目录挂载到容器内部,以实现 SonarQube 数据、扩展和日志的持久化存储。所使用的 SonarQube 镜像版本是 “lts-community”
Gitlab增加个人访问令牌
在 GitLab 个人设置页面,选择 “访问令牌”,在页面中使用“添加新令牌”,即可生成个人访问令牌。这个令牌可以用于执行 API 请求或代替密码进行身份验证。确保保存好令牌并仅授予必要的权限
Sonar
Sonar创建工程
登录sonar,首次登入用户和密码都是admin,根据提示需要修改密码。进入主页后便可以从gitlab导入新的项目。
创建用户Token
登录到 SonarQube 管理界面,然后点击用户名旁边的下拉箭头,选择 “My Account”。在个人资料页面,点击 “Security” 标签,然后选择 “Generate Tokens”。输入令牌名称并选择要授予的权限,然后点击 “Generate”。生成的令牌将显示在页面上,确保保存好令牌,因为它将不再显示。
修改项目代码
扫描脚本
#!/bin/bash
# 获取当前目录路径,用于后续挂载到 Docker 容器中
APP_ROOT=$(pwd)
docker run --rm \
-v /home/copier/.m2/:/root/.m2/ \
-v $APP_ROOT:/app \
-w /app \
maven:3.8.5-openjdk-17 mvn \
-Dsonar.login=squ_a049d8a389ad7a702e25d2f768e5c20ed9fe127e \
-Dsonar.host.url=http://192.168.3.52:9000/ \
-Dsonar.projectKey=springdemo \
compile sonar:sonar
和前面方式一项新建scan.sh
,内容说明:
这段脚本是一个 Bash 脚本,用于在 Docker 中运行 Maven 构建,并将项目代码挂载到容器中进行 SonarQube 分析。让我逐步解释:
-
APP_ROOT=$(pwd)
: 这一行将当前目录路径保存在变量APP_ROOT
中,以便后续将其挂载到 Docker 容器中。 -
-v /home/copier/.m2/:/root/.m2/ \
: 这个选项指定了将宿主机的 Maven 本地仓库目录/home/copier/.m2/
挂载到容器内的/root/.m2/
目录,以便在容器中使用宿主机的 Maven 本地仓库缓存。 -
-v $APP_ROOT:/app \
: 这个选项将宿主机的当前目录挂载到容器内的/app
目录,以便在容器中访问项目代码。 -
-w /app \
: 这个选项设置容器的工作目录为/app
。 -
maven:3.8.5-openjdk-17
: 这是指定要在容器中运行的 Maven 镜像,版本是 3.8.5,使用 OpenJDK 17。 -
-Dsonar.login=squ_a049d8a389ad7a702e25d2f768e5c20ed9fe127e \
: 这是向 Maven 传递的 SonarQube 访问令牌,用于身份验证。 -
-Dsonar.host.url=http://192.168.3.52:9000/ \
: 这是向 Maven 传递的 SonarQube 服务器地址。 -
-Dsonar.projectKey=springdemo \
: 这是向 Maven 传递的 SonarQube 项目密钥,用于标识项目。 -
compile sonar:sonar
: 这是 Maven 的目标命令,compile
表示编译项目,sonar:sonar
表示执行 SonarQube 分析。
修改pom.xml
集成sonar的maven插件到pom.xml文件中
<plugin>
<groupId>org.sonarsource.scanner.maven</groupId>
<artifactId>sonar-maven-plugin</artifactId>
<version>3.9.0.2155</version>
</plugin>
CI/CD JOB
.gitlab-ci.yml文件增加如下内容,compile
阶段执行scan.sh进行代码扫描
stages:
- compile
- build
- test
scan:
stage: compile
script:
- sh ./scripts/scan.sh
执行扫描
提交代码后,gitlab job会自动执行。
登录Sonar可以查看扫描结果