SonarQube介绍

已于 2023-03-09 16:17:14 修改
阅读量892 收藏 3
点赞数
文章标签: jenkins 运维
于 2023-03-02 17:22:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64815126/article/details/129303063
版权

介绍

是一个开源平台,用于管理源代码的质量。
多维度分析代码:代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。
支持30+编程语言的代码扫描和分析,包含javapythonC#javascriptgoC++等。
涵盖了编程语言的静态扫描规则: 代码编写规范+安全规范
通过插件机制,可以集成不同的测试工具,代码分析工具,以及持续集成工具(jenkins)
官方网站:Self-managed | SonarQube | Sonar

架构

sonarQube静态代码扫描平台由3部分组成:sonarqube-scanner ,sonarqube server和Database server,其基本架构图如下: 

sonarqube server上主要有3个应用:

  • Web服务:为SonarQube用户界面提供服务的。
  • 搜索服务:基于 Elasticsearch 器。
  • 计算引擎:负责处理代码分析报告并将其保存在SonarQube数据库中

环境

SonarQube 在 7.9 版本中已经放弃了对 MySQL 的支持,并且建议在商业环境中采用 PostgreSQL, 那么 安装SonarQube时需要依赖PostgreSQL

SonarQube 服务器需要 Java 版本 11,而 SonarQube 扫描程序需要 Java 版本 11 或 17

java11+postgres+sonarqube+sonar-scanner

https://docs.sonarqube.org/latest/requirements/prerequisites-and-overview/

安装

安装有2种方式:local本地安装、容器安装

容器安装步骤,见下:

步骤1:安装docker和docker-compose

安装docker-compose: 

# 建议用迅雷下载二进制文件

sudo curl -L "https://github.com/docker/compose/releases/download/1.28.4/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

下载的文件会输出到 /usr/local/bin/docker-compose

国内镜像:

sudo curl -L https://get.daocloud.io/docker/compose/releases/download/1.25.1/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose

之后给compose配置可执行权限

sudo chmod +x /usr/local/bin/docker-compose

输入docker-compose version

或者通过pip安装可直接安装docker-compose。 ref:Linux中安装/部署docker-compose_A-刘晨阳的博客-CSDN博客h 

或者:

步骤2:下载安装sonerqube和PostgreSQL

snoarqube依赖postgres数据库

所以先下载postgres

docker pull postgres:latest
docker pull sonarqube:8.9.2-community

拉取对应镜像后,此时用到之前的docker-compose安装sonarqube :

选择一个安装路径,下面放入docker-compose.yml文件

version: "3"
services:
  sonarqube:
    image: sonarqube:community
    hostname: sonarqube
    container_name: sonarqube
    depends_on:
      - db
    environment:
      SONAR_JDBC_URL: jdbc:postgresql://db:5432/sonar
      SONAR_JDBC_USERNAME: sonar
      SONAR_JDBC_PASSWORD: sonar
    volumes:
      - sonarqube_data:/opt/sonarqube/data
      - sonarqube_extensions:/opt/sonarqube/extensions
      - sonarqube_logs:/opt/sonarqube/logs
    ports:
      - "9000:9000"
  db:
    image: postgres:13
    hostname: postgresql
    container_name: postgresql
    environment:
      POSTGRES_USER: sonar
      POSTGRES_PASSWORD: sonar
      POSTGRES_DB: sonar
    volumes:
      - postgresql:/var/lib/postgresql
      - postgresql_data:/var/lib/postgresql/data

volumes:
  sonarqube_data:
  sonarqube_extensions:
  sonarqube_logs:
  postgresql:
  postgresql_data:

拉取对应镜像后,此时用到之前的docker-compose安装sonarqube :

选择一个安装路径,下面放入docker-compose.yml文件

docker-compose文件对文件内容格式要求很高,里面不能出现table的空格,如果在运行时提示异常需要调整里面的格式,db也是在services下的,如果格式异常,就会执行不了,可以进去:set number定位行数调整

执行:

docker-compose up -d

需要查看日志的话

docker-compose logs -f

一切ok

查看下docker的进程,docker ps看是否正常启动:

登录对应环境的9000端口即可登录snoarqube, 默认用户名密码都是admin,提示修改密码即可:

Jenkins接入

1.创建项目:

2.建用户生成token

3.安装sonorqube插件

4.添加credential

5.配置sonarqube server

6.配置sonarqube scanner

6. jenkins 任务中配置sonarqube

方法1: 

 方法2(推荐):

指定sonar-scanner扫描的配置信息

各配置源信息:

Dsonar.projectKey

 sonarqube token

m0_64815126
关注
sonarqube使用介绍
07-27
SonarQube 使用介绍 SonarQube 是一个自动静态分析工具(ASATs),用于检测和分析软件中的错误、漏洞和代码气味。SonarQube 提供了多种规则来检查代码质量,涵盖可维护性、可靠性、安全性等多个领域。 SonarQube ...
代码质量检测-SonarQube
weixin_40559666的博客
11-30 1万+
SonarQube快速上手使用集成gitlab流水线控制
代码审查工具SonarQube详解
知识库总结、分享
06-07 6458
Sonar Qube可以与多种软件整合进行代码扫描,比如Maven,Gradle,Git,Jenkins等,并且会将代码检测结果推送回Sonar Qube并且在系统提供的UI界面上显示出来一个 SonarQube 实例包含三个组件:为什么选择PostgreSQL不支持mysql?系统安装条件:如果您在 Linux 上运行,则必须确保:修改/etc/sysctl.conf 添加vm.max_map_count = 524288 不修改vm.max_map_count报错提示: 默认admin密码admin登录
软件测试学习笔记丨静态测试与代码审计 SonarQube
最新发布
ceshiren_com的博客
08-29 1408
Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具、代码分析工具,以及持续集成工具。与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。
SonarQube代码质量检查平台
张维鹏的博客
08-16 1万+
SonarQube 是一个代码质量管理的开源平台,通过 SonarQube 提供的代码扫描、质量阈值卡点等质量红线,我们可以提升系统的可靠性,提前捕获和提示代码中的错误,从而避免未定义的行为影响到用户,保证业务质量,也能确保管理的代码库干净并且可维护,以便提高开发人员的开发效率。另外 SonarQube 也可以生成详细的代码分析质量报告,并通过强大的仪表盘展示出来,使我们能够根据角色的不同,查看不同维度的度量标准。...
SonarQube安装指导
热门推荐
awen8307的专栏
08-31 1万+
Sonarqube的安装部署指导,以及使用scanner进行代码扫描方法说明
你知道什么是SonarQube吗?
趙兴晨的博客
04-03 2445
SonarQube是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且可以集成在IDEA、Jenkins、GIt等服务中,方便随时查看代码质量分析报告。SonarQube通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级,同时SonarQube可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来检验代码质量;
sonarqube-7.5.zip
04-30
在这个"sonarqube-7.5.zip"压缩包中,包含了SonarQube 7.5版本的各个核心组件和配置文件,下面将详细介绍这些文件夹的用途及其在SonarQube系统中的重要性。 1. **lib**: 这个目录存放了SonarQube运行所需的库文件,...
SonarQube中文使用手册
09-28
SonarQube用户指南中详细介绍了如何安装和使用SonarQube服务。在环境准备阶段,需要了解环境依赖和当前服务环境。之后,指南中还涉及了如何在Eclipse和IDEA中集成SonarLint插件,以及如何使用SonarQube Scanner进行...
sonarqube 文档
10-09
2. SonarQube的基本概念:文档将介绍SonarQube的核心组件,如SonarQube服务器、SonarQube Scanner、SonarQube插件等,以及这些组件如何协同工作来实现代码质量检查。 3. 安装和配置:介绍如何在不同的环境(如本地...
sonarqube安装与ldap集成
07-13
本文将详细介绍 SonarQube 的安装、配置、Sonar Scanner 的安装、LDAP 集成和 Jenkins 集成的过程。 SonarQube 安装 SonarQube 的安装需要满足以下预置条件: 1. 已安装 JAVA 环境 2. 已安装 MySQL 数据库 首先...
代码质量平台实践-SonarQube
weixin_39246554的博客
06-26 1850
SonarQube®是一种自动代码审查工具,可检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和拉取请求的持续代码检查。开发人员在IDE开发代码,可以安装SonarLint插件(本地代码扫描)进行提交前代码扫描。当开发人员提交代码到版本控制系统中,自动触发jenkins进行代码扫描。sonarQube本身具有消息通知webhook,当然也可以借助Jenkins的email插件来发送消息通知。Web服务器。
自动化代码质量检测平台sonarqube搭建及使用,以及集成gitlab ci提交自动返回结果
03-14 5960
Sonar (SonarQube)是一个开源平台,用于管理源代码的质量。Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。支持java, JavaScrip, Scala 等等二十几种编程语言的代码质量管理与检测。SonarQube®是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码异味。它可以与您现有的工作流程集成,以便在项目分支和拉取请求之间进行连续的代码检查。原理架构,这里不多说了,网上一大把,咱们直接开干就完了。
SonarQube 安装及使用
顺其自然~专栏
12-15 1718
SonarQube是一款用于代码质量管理的开源工具,是静态代码检查工具,采用 B/S 架构它主要用于管理源代码的质量,可以支持众多计算机语言,比如 php,java, C#, go,C/C++, Cobol, JavaScrip, Groovy 等。sonar 可以通过 PMD,CheckStyle,Findbugs 等等代码规则检测工具来检测你的代码,帮助你发现代码的漏洞,Bug,异味等信息。可以从七个维度检测代码质量:1)复杂度分布(complexity):代码复杂度过高将难以理解。
Day04-SonarQube
苦难带不走梦想
07-05 1054
常用漏扫工具sonarqubeopenvasnessusOWASPappscanSonarQube是一个开源的代码质量管理系统,用于检测代码中的错误,漏洞和代码规范。它可以现有的Gitlab、Jenkins集成,以便在项目拉取后进行连续的代码检查今日核心案例06:多来几个web,加入负载均衡。
SonarQube基础介绍与在代码检测中的应用
qq_21007209的博客
03-16 1401
官网描述: SonarQube 提高您的团队成员的代码质量和安全性,使所有开发人员能够编写更干净、更安全的代码。官网地址:帮助文档:Q: SonarQube 是什么?答: SonarQube 是一个开源的代码质量管理平台系统,用于检测各类开发语言(例如: java、php、python、html、C、C#、Groovy)代码中的错误,漏洞和代码规范;并且现在它可以与现有的Gitlab、Jenkins进行集成,以便在项目拉取后进行连续的代码质量检查;Q: SonarQube 有何用处?
6.Devops实战篇之——代码测试(SonarQube
PSYCHO0921的博客
05-22 1412
Jenkins整合Sonarqube进行代码质量检测
Sonarqube介绍
04-24
SonarQube是一个开源的代码质量管理平台,旨在帮助开发团队管理代码的质量并提供有关代码健康状况的全面报告。该平台可以自动分析代码,并提供有关代码复杂性、可读性、可维护性和可靠性等方面的详细报告,同时也提供了功能强大的Bug和漏洞检测和管理工具。SonarQube支持多种编程语言,包括Java、C、C++、C#、Swift和Python等,具有易于安装和使用、可扩展性和开放API等特点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值