SonarQube环境搭建以及java代码扫描基础用法

最新推荐文章于 2024-09-24 07:15:00 发布
最新推荐文章于 2024-09-24 07:15:00 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: CI/CD 文章标签: linux sonarqube ci/cd 代码扫描 devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liboshi123/article/details/108840030
版权

SonarQube简介

SonarQube是一款开源的代码质量检查工具,主要用于源代码的质量检查,是devops流水线中很常用的一个工具,以插件化的形式,支持多种编程/脚本语言的代码分析,同时也提供了对常用IDE工具的支持。

Sonar环境搭建

Linux下环境搭建

安装包下载地址:https://www.sonarqube.org/downloads/

工具分为社区免费版和开发版,官网下载可能比较慢,我已经下载好的版本存放在网盘中,有需要的可以从百度网盘下载即可:

链接:https://pan.baidu.com/s/1vKUlViVPzHCW8Q_14yE4PA

提取码:1234

SonarQube的安装包下载下来是一个zip压缩包,windows和linux下的安装包都是同一个,压缩包中会有针对不同系统的启动脚本:

  • linux环境搭建:(需提前安装好jdk )

# 先创建一个sonar用户,用来启动sonar,具体可见注意事项第3点 
groupadd sonar
useradd sonar -g sonar -p sonar
# 使用unzip命令解压压缩包使用unzip命令解压压缩包
unzip sonarqube-8.4.2.36762.zip -d /home/sonar/devopstools


# 把sonar所需用到的目录都授权给sonar
chown -R sonar:sonar /home/sonar/devopstools/sonarqube-8.4.2.36762
chown -R sonar:sonar jdkpath
# 执行bin目录下的启动脚本
cd /home/sonar/devopstools/sonarqube-8.4.2.36762/bin/linux-x86-64
sh  sonar.sh start

注意事项;

1、sonarqube是需要依赖于jdk的,目前我所使用的sonarqube-8.4的版本,需要依赖于java11的版本,否则在启动的时候会报错 :

2、sonarqube安装后,数据默认是存储在H2数据库引擎中的,可以在配置文件中修改数据存储的相关信息,配置文件存放于conf/sonar.properties文件中,目前支持H2(默认使用这个,但是官方推荐仅用于测试 ,商业环境中不推荐使用)、Oracle、PostgreSQL和SQLServer。

在以前的版本中,会看到支持mysql,网上有很多教程都写的是配置mysql的数据源 ,从SonarQube v7.9版本开始,将不再支持mysql,具体可参考下面的官方申明:

https://community.sonarsource.com/t/end-of-life-of-mysql-support/8667

3、sonarqube启动的时候,会默认启动elasticsearch,elasticsearch现在默认不能以root用户启动 ,因为不能用root身份去启动sonar,否则执行sh sonar.sh start命令后,在logs文件中会出现如下的错误信息:

sonar.log:

es.log:

Linux下通过Docker搭建SonarQube环境

# 下载sonarqube的docker镜像:
docker pull sonarqube
docker run -itd --name sonarqube -p 9000:9000 sonarqube

执行以上命令后,即可成功安装sonarqube,然后在浏览器中输入ip+端口9000访问即可。安装后,默认的登录用户名和密码是admin /  admin 。登录后初始化页面如下:

Windows下安装SonarQube

直接下载安装包解压后, 进入bin目录下的windows-x86-64文件夹中,然后执行bat脚本启动就行。(需提前安装好jdk并配置环境变量,新版本需依赖jdk11)

Sonarqube安装目录介绍

sonar安装目录常用的几个目录介绍:

bin:下面存放了windows、linux和mac电脑的启动脚本

conf:里面存放的是配置文件,其中sonar.properties里面可以更改sonar的数据源配置,端口等重要信息,wrapper.conf里面可以指定java的路径和一些其他的参数

extensions:这个里面常关注的是plugins文件夹里面的内容,可以从官网下载其他插件放进去,扩展sonar的功能

SonarQube基本操作

1、生成token

2、找一个java的maven工程,在pom所在目录直接执行下面的命令扫描:

mvn sonar:sonar \
 -Dsonar.projectKey=demo \
 -Dsonar.host.url=http://106.53.29.33:9000 \
 -Dsonar.login=27b9c784671905425be75c580f5ed818c9533bc5

不同的语言,使用方法不一样,可以通过下图去筛选不通的语言,得到扫描的命令:

3、查看扫描结果

可以看到扫描出来的bug以及各种语言的代码行数,圈复杂度,代码重复率等指标的数据。

总结

1、以上已为大家介绍了SonarQube环境搭建,要注意 ,新的版本需要依赖jdk11,以后的版本可能依赖的会更高 ,遇到启动报错,要学会查看日志进行分析,linux下安装的时候,不能用root用户去安装,不然会报elasticsearch启动错误。

2、SonarQube主要用来展示各个项目的扫描结果和数据,目前搭建的是sonar的服务端, 如果是扫描其他语言,可能需要下载安装sonar-scanner的插件,可以结合jenkins实现持续集成,能够在开发提交代码后自动触发扫描。

3、更多Sonar的用法请持续关注,后面有时间再分享其他用法,随着版本的升级,很多的用法也需要及时去学习和更新 ,最好的办法就是参考官网的文档学习,可以少踩很多坑。

往期精彩回顾

Postman+Newman+Git+Jenkins实现接口自动化测试持续集成

Fiddler Everywhere v1.0.1版本基础功能介绍

App自动化测试之Appium环境搭建

一篇文章为你揭秘pytest的基本用法

Jenkins自动部署测试环境之jar包部署

特定场景下才能复现的bug案例分享之--前端排序字段的锅

小博测试成长之路
关注
专栏目录
sonar-scanner本地扫描java代码推送至sonarQube命令及解释
qq_53739052的博客
02-22 1698
安装好sonarQube;因为有些项目会安装到服务器上,但是没关系操作是一样的;注意:本地安装sonar-scanner直接解压安装包即可,但是需要配置环境变量1.先手工新增一个项目;2.选择本地方式进行java代码扫描,生成一个令牌;这里我们不用sonarQube的引导来扫描,我们用本地的sonar-scanner进行扫描即可3.复制我们在第二步生成的令牌粘贴到下面的命令中使用cmd到项目根目录下执行以上命令,等待结果即可执行完成执行完成之后,会自动推送到sonarQube
2024新版SonarQube+JenKins+Github联动代码扫描(3)-三者联动配置最终章_怎么使用sonarqube扫描github上的项目
2401_84254364的博客
05-02 645
sonar生成一个用户token:这个sonar的token一定要备份好,因为只显示一次。
sonarqubejava代码扫描
耕耘
04-19 6141
一、概述 配置好sonar的服务端后,接下来就要使用sonar检测我们的代码了,sonar主要是借助客户端检测工具来检测代码,所以要使用sonar就需要先在我们本地配置好客户端检测工具。 客户端可以通过IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式进行扫描分析。常用的有扫描器有Sonar-Scanner和Sonar-Runner,使用起来都差不多。这里我使用Sonar-Scanner来作为检测客户端。 二、安装sonar-scanner 下载sonar-scanner 地址
Java中的代码质量评估:SonarQube的应用
最新发布
聚娃科技开发者博客
09-24 606
SonarQube是一款开源的代码质量管理工具,可以通过静态代码分析,检测代码中的潜在问题,提供详细的代码审计报告,从而帮助开发者提升代码质量。通过集成SonarQube,我们不仅可以及时发现代码中的问题,还能够不断优化代码结构,提高代码的可维护性和安全性。通过上述配置,Jenkins会在构建过程中自动执行SonarQube代码分析任务,将结果上传到SonarQube服务器,开发者可以在Web界面查看详细的代码质量报告。运行成功后,可以在SonarQube的Web界面查看详细的分析报告。
SonarQube教程:Windows下安装sonar-scanner插件扫描java项目代码
学亮编程手记
09-08 1627
命令行输入sonar-scanner -version,出现下面界面表示sonar-scanner安装配置成功。1.到要检查的代码根目录下创建文件。检查的结果直接可以在浏览器。
Java集成SonarQube
莫问前程
01-11 1478
Java工程集成SonarQube 针对目前Java工程集成SonarQube,主要有两种方式。一种是在Java工程自身是Maven工程的情况下,可直接使用Maven中的sonar插件,快速完成对接。如果不是Maven工程或者工程无法用sonar插件完成分析,那么可以使用Sonar Scanner来完成对接。下面将对两种对接方式进行详细介绍: 准备工作 向SonarQube管理员申请用户账号和对应的token,后续的登录SonarQube系统和执行代码扫描都会用到账号和token。 Maven so
安装多个java导致sonarqube启动报错解决
SA
04-19 1180
安装多个java导致sonarqube启动报错解决
代码质量管理SonarQube实现Objective C静态代码扫描环境搭建总结
01-21
### 代码质量管理:SonarQube 实现 Objective C 静态代码扫描环境搭建 #### 一、前言 在软件开发过程中,代码质量的好坏直接影响到产品的稳定性和可维护性。为了确保代码质量,很多团队都采用了各种工具来进行代码...
sonarqube jenkins svn maven代码质量检查.pdf
04-28
根据提供的文件信息,本文将深入解析SonarQube、Jenkins、SVN以及Maven在代码质量检查中的集成应用。 ### SonarQube SonarQube是一个开源的代码质量管理系统,它不仅提供了质量报告的功能,更是一个全面的代码质量...
静态代码扫描工具SonarQube搭建使用(Mac) --1
CONGHUAXIANSHENG的博客
03-29 629
SonarQube是一款非常强大的静态代码分析工具,支持15种语言的静态代码分析(JavaJavaScript,C#,TypeScript,Kotlin,Ruby,Go,Scala,Flex,Python,PHP,HTML,CSS,XML和VB.NET。。。)。可以发现程序的bug,漏洞,简便易用可拓展,是一个很好的选择。 第一部分将详细讲解SonarQube环境搭建基础本地实验的使用方法 官网地址:https://www.sonarqube.org/downloads/ ...
sonarqube 通过 mvn 扫描代码
qq_37698777的博客
04-29 1310
独立部署项目,客户需要提供sonar代码扫描报告,作为一个java后端,没有用过sonar工具,就在网上扒拉最终实现了扫描由于项目过于老旧,使用的jdk版本1.8,从官网下载的sonar包是最新的(需要jdk17),所以不匹配需要找到sonar 7.8之前的版本,才能进行扫描2.中文插件sonar-l10n-zh-plugin-1.25.jar(可选)3.PDF输出报告插件sonar-pdfreport-plugin-3.0.3.jar(可选,需要导出PDF结果报告则添加)5.jdk8。
SonarQube9.0+JDK11安装
weixin_44225369的博客
09-07 2277
准备工具 JDK11 SonarQube9.0 一、安装JDK并配置环境变量 JDK安装之后配置变量 添加 JAVA_HOME 变量值填写刚刚jdk安装的路径 添加CLASSPATH 变量值 .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar; 在环境变量中找到PATH添加变量%JAVA_HOME%\Bin %JAVA_HOME%\jre\Bin 如果在命令行执行javajavac 不报错就好了。 二、安装SonarQube 解压之后找到解
SonarQube搭建静态代码扫描系统
weixin_45589713的博客
04-08 1280
SonarQube搭建静态代码扫描系统,实现测试左移,提前发现Bug
sonarqube代码扫描&Jenkins
weixin_60092693的博客
05-25 1964
实验笔记
java 代码安全扫描_安全测试-sonarscanner扫描代码
weixin_33992214的博客
02-19 2053
1.配置客户端1.安装客户端sonar-scanner下载,安装,官网:https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/创建完成项目,右边会有一个提示下载sonar-scanner的地方,忘截图了2.配置环境变量配置变量:open ~/.bash_profile配置生效:source ~/.bash_profile# son...
java代码扫描项目,sonar代码扫描实现(基于java-maven)
weixin_39856055的博客
03-10 743
Sonar介绍Sonar是一个用于代码扫描检测的开放平台。可以实现对不同语言(java、python、php、C++、C#等等)的项目代码进行分析,同时可以集成不同的测试工具、代码分析工具,以及持续集成工具(jenkins)。当前Sonar的最新版本为8.6,由于新版本不支持mysql数据库了,所以本技术文档实现以Sonar 6.7版本为演示版本。下载的链接地址如下:https://www.son...
配置sonarqube8.0实现Java代码分析
qq_38672472的博客
09-04 1373
环境搭建于2020.9.4 在docker-compose环境下配置SonarQube分析Java代码 sonarqube:8.0-community(更高版本在当前时间可能会有些不兼容则随便找了个版本不是很高的) Postgresql:12-alpine(7.9版本起就不支持MySQL了)
SonarQube代码检查,java代码优化(Bug类型)
质量不太好的博客
03-07 1548
SonarQube代码检查,java代码优化(Bug类型)
使用SonarQube+SonarScanner对Java代码进行扫描(Windows环境)
热门推荐
nikeylee的博客
05-28 1万+
SonarQube 是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误; 一、准备工作 1、JDK1.8 2、MySQL数据库 准备工作; 1、jdk(不再介绍) 2、sonarqube:http://www.sonarqube.org/downloads/ 3、SonarQube+Scanner:https://sonarsource.bintray.com/Distribution/sonar-scanner-cli/sonar...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小博测试成长之路

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值