代码质量管理 SonarScanner 扫描分析实战

于 2024-10-09 19:51:29 发布
阅读量970 收藏 12
点赞数 24
文章标签: SonarScanner 扫描分析实战 代码质量管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58552717/article/details/142794587
版权

在软件开发过程中,代码质量管理是一个至关重要但往往被忽视的环节。糟糕的代码不仅会增加维护成本,还可能导致不可预见的Bug和系统崩溃。如何用更有效的工具来保障代码质量呢?今天,我们将聚焦 SonarScanner,一个高效的代码质量管理工具,为你揭秘其扫描分析的实战过程!

随着代码量的增长,开发团队如何能更轻松地确保代码质量?SonarScanner 是一个可以帮助自动扫描代码并识别潜在问题的强大工具。它究竟是如何工作的?在实际操作中有哪些关键步骤?这篇文章将为你提供答案。

SonarScanner 是一个静态代码分析工具,支持多种编程语言(如 Java、JavaScript、C++ 等)。它能够自动检测代码中的潜在问题,如代码异味、漏洞、安全问题、重复代码等。使用 Sonar Scanner,你可以对项目代码进行深度扫描,生成分析报告,并将结果发送到 SonarQube 服务器。

SonarQube Scanner 是用来分析代码并将结果提交到 SonarQube 服务器的工具,支持多种语言和不同的项目构建工具:

  • 命令行工具

    下载 SonarQube Scanner 命令行工具并配置环境变量。这是最通用的 SonarQube Scanner,适用于各种构建工具之外的项目,或者没有与 SonarQube 原生集成的情况。它可以通过命令行直接运行,适用于多语言项目的分析。

  • 构建工具插件

    在 Maven、Gradle 、Ant 项目中可以直接集成 SonarQube Scanner 插件,如:

    <!-- Maven 中配置 SonarQube 插件 --><build>  <plugins>    <plugin>      <groupId>org.sonarsource.scanner.maven</groupId>      <artifactId>sonar-maven-plugin</artifactId>      <version>3.9.1.2184</version>    </plugin>  </plugins>

  • CI平台插件

    Jenkins 可以通过 SonarQube 插件直接集成代码质量扫描任务。适合持续集成(CI)/持续交付(CD)流水线中自动化运行 SonarQube 分析。

接下来以通用性的Sonar Scanner为例讲解如何使用

SonarQube Scanner安装和配置

1. 下载SonarQube Scanner

Sonar下载地址:https://binaries.sonarsource.com/?prefix=Distribution/sonar-scanner-cli/

根据自己的系统平台选择对应的版本,这里由于我是win机器,选择的是sonar-scanner-4.8.0.2856-windows

下载完毕之后将其解压到本地的某个目录下

2. 配置环境变量

将 Sonar Scanner 的 bin 目录添加到系统的 PATH 环境变量中,以便你可以从命令行直接运行 sonar-scanner

  • 新建SONNAR_SANNER_HOME环境变量,对应值填写sonar-scanner-4.8.0.2856-windows所在路径

  • %SONNAR_SANNER_HOME%\bin加入到PATH环境变量中

  • 验证安装,在命令行终端输入命令: sonar-scanner --version

3. 在SonarQube Server中创建项目

打开SonarQube Server的web页面,填写项目名:

图片

创建令牌:

图片

将令牌复制过来:

图片

4. 配置要分析的项目

进入到要分析的项目的根目录下,创建sonar-project.properties配置文件,填写如下配置:​​​​​​​

 # 项目标识
 sonar.projectKey=lemon_code_sonar
 # 默认和项目标识保持一致
 sonar.projectName=lemon_code_sonar
 # 项目版本号
 sonar.projectVersion=1.0
 # 项目扫描路径,默认.代表当前目录下所有的代码文件
 sonar.sources=.
 # 源码编码格式
 sonar.sourceEncoding=UTF-8
 # 创建项目生成的令牌
 sonar.login=295bff591e2b6336929165e3da953f43407991ca

5. 执行分析

打开命令行终端,进入到当前目录下,执行sonar-scanner命令即可开始分析项目:

图片

最终会在SonarQube Server页面上显示分析结果:

图片

 

在数字化转型加速的今天,企业对软件质量的要求也越来越高。为了在竞争中占据优势,很多团队都在寻找有效的代码质量管理工具。SonarScanner 作为开源代码分析工具,正以其高度灵活性和精准度被越来越多的团队采纳。

SonarScanner 是代码质量管理中的得力助手。通过自动扫描和详细的报告,它可以帮助开发团队快速识别并解决代码问题,确保代码在发布前符合质量标准。有效的代码质量管理,不仅可以提升团队效率,还能为项目的成功奠定坚实基础。

“代码质量不仅是项目成功的基础,更是开发者自豪的标志。用 SonarScanner,把控每一行代码的质量。”

 

 

SonarScanner扫描本地项目代码
万物皆可学
06-16 3131
和Windows一样设置环境变量指定你存放sonarscanner的路径,path添加到bin目录,项目根目录创建sonar-project.properties并设置参数,终端跳到目录路径下执行sonar-scanner即可。接着编辑path的变量,新增一条值,%SONAR_SCANNER_HOME%\bin,指定到你的SonarScanner bin目录。sonar.java.binaries=指定编译目录,官方示例没有提及,如果不设置扫描会报错,可以没有编译目录但必须设置次参数。
deploy-sonar代码扫描分析
10-09
"deploy-sonar代码扫描分析"是一个针对软件代码质量进行深度检查的过程,它通常涉及到使用SonarQube这样的工具来执行静态代码分析和复杂度计算。SonarQube是一款开源平台,专门用于持续代码质量管理,它能检测出代码...
java 代码安全扫描_安全测试-sonarscanner扫描代码
weixin_33992214的博客
02-19 2057
1.配置客户端1.安装客户端sonar-scanner下载,安装,官网:https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/创建完成项目,右边会有一个提示下载sonar-scanner的地方,忘截图了2.配置环境变量配置变量:open ~/.bash_profile配置生效:source ~/.bash_profile# son...
Sonar代码质量管理工具
IDO老徐软件测试窝
11-17 275
&#13; &#13; &#13; &#13; &#13; 最近上线了,Sonar代码扫描工具;&#13; 与jenkins集成;&#13; 实现自动扫描;&#13; 下面来简单聊聊Sonar能解决什么问题;&#13; ----------------------&#13; &#13; &#13; &#13; &#13; Sonar简介&#13; &#13;
sonar scanner配置
weixin_44128977的博客
06-13 2842
这里记录如何配置sonar scanner扫描C/C++项目代码。话不多说,先上。
sonar-scanner扫描参数
耕耘
11-02 3524
sonar-scanner 是一个用于分析代码质量的命令行工具,它基于 SonarQube 平台。SonarQube 是一个开源的代码质量检测平台,可以分析多种编程语言编写的代码,并提供相应的质量报告。通过 sonar-scanner 工具,您可以轻松地对项目代码进行静态分析,从而提高代码质量、降低潜在的错误和风险。
Sonar-Scanner: 静态代码分析的利器
最新发布
IT小辉同学
07-31 1617
懂得享受生活的过程,人生才会更有乐趣。每个人都会遇到一些陷阱,每个人都有过去,有的甚至是失败的往事。过去的错误和耻辱只能说明过去,真正能代表人一生的,是他现在和将来的作为。
【报错】安装SonarQube、SonarScanner在linux服务器上的配置
我们都是被分成两半的人,一边热爱生活,一边憎恨生活。面对生活,我们总是在矛盾的两端摇摆,在反复的矛盾和犹豫中,一边踉跄前行,一边重振旗鼓。我渴望改变,渴望变得更好,渴望找到出口……就像一个溺水人的挣扎,就像一个救生圈。我是一个矛盾集合体,想要变得快乐,但是
04-07 2600
sonarqube7.5的压缩包里面有linux和windows的文件,所以你直接下载就可以了,不用分平台。查看你自己服务器的jdk版本,如果是1.8就安装sonarqube7.8及以下,否则后面会报错!如果你的电脑已经有了jdk1.8以及mysql5.7,那么你就可以直接使用如下两个版本了!如果出现错误很肯可能是你的数据库用户权限问题,或者是数据库版本问题,要仔细排查。而我电脑的mysql是8版本的,所以我只能在服务器上配置了~QAQ。注意你的sonarqube对应的MySQL版本。
如何使用Sonar进行静态扫描(Windows系统)
qq_40631968的博客
04-22 3111
与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。1、在sonar 服务已经搭建,Jenkins所在主机可以正常访问的情况下,进到jenkins安装插件的界面,搜索“SonarQube Scanner”,安装好后重启Jenkins服务。
代码质量扫描工具sonarqube-7.1,包含中文包
12-14
SonarQube通过静态代码分析技术,无需编译或运行代码,就能检查出代码中的问题。这使得它可以在开发过程的早期发现问题,避免问题在后期演变成更难解决的问题。 压缩包内的"sonar-l10n-zh-plugin-1.22.jar"是一个...
SonarQube代码质量管理平台的介绍与安装
12-27
6. **执行代码分析**: 在你的CI/CD流程中,添加SonarScannerSonarQube的分析器)的执行步骤。SonarScanner分析你的源代码,并将结果发送到SonarQube服务器进行评估。分析过程可以通过命令行或者集成到构建工具...
Sonar-runner Sonar代码扫描辅助工具sonarScanner
07-20
sonar4版本扫描辅助程序. 向服务器上传代码并做扫描分析. 使用方式: CMD切换到项目根目录下(sonar-project.properties文件所在目录)运行 sonar-runner
sonarqube代码本地扫描配置步骤
05-07
如果需要在.NET环境下使用SonarQube进行代码质量分析,首先需要安装.NET SDK。这可以通过访问https://dotnet.microsoft.com/zh-cn/download来完成。只有在安装了.NET SDK之后,才能正常运行.NET相关的命令,如`...
sonar入门:使用sonar-scanner检测代码
小鲍侃java
04-06 4816
检测java代码时 有两种方法 1.使用sonar-scanner 2.配置maven 这里配置maven可能对于代码耦合度比较大 而且更复杂 所以楼主选择sonar-scanner方式 1.打包 打包java项目 这里不多说 2.在src路径下建立sonar-project.properties # 项目名称 sonar.projectKey=systemportal sonar.projectName=systemportal sonar.projectVersion=1.0 #.
SonarQube学习笔记三:直接使用sonar-scanner扫描
天堂向左
10-10 3157
直接使用sonar扫描
本地部署sonarqube并进行代码审查
scofild950303的博客
02-21 1130
最近在搞代码审查,配置过程中遇到了一些版本、配置导致的各种启动运行报错的问题,今天抽空整理了一下相关的资源,希望能够帮到需要用到的同学。
sonar 代码扫描
meijunhui的博客
09-06 6509
到官网下载 sonar-scanner scanner支持maven插件形式, jenkins,此处使用的是基于命令行的,不依赖于其他 官网下载scanner的zip包,解压 进入conf,打开sonar-scanner.properties 文件 此处,host.url是服务器地址,因为sonar扫描的结果会上传到服务器 配置环境变量
SonarQube教程:Windows下安装sonar-scanner插件扫描java项目代码
学亮编程手记
09-08 1652
命令行输入sonar-scanner -version,出现下面界面表示sonar-scanner安装配置成功。1.到要检查的代码根目录下创建文件。检查的结果直接可以在浏览器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值