【Sonarqube+Jenkins】---- 代码质量提升方案

最新推荐文章于 2023-03-06 14:27:00 发布
最新推荐文章于 2023-03-06 14:27:00 发布
阅读量587 收藏 2
点赞数
分类专栏: CICD方案设计--提升代码质量
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mayunzhi1993/article/details/87969547
版权

1、工具简介

SonarQube是一个用于代码质量管理的开源平台,用于管理源代码的质量。通过插件机制,SonarQube可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。

SonarQube 在进行代码质量管理时,会在七个纬度来分析项目的质量:算法设计,注释,编码规则,潜在缺陷,单元测试,重复块,复杂度。

2、方案介绍

Sonarqube的强大之处在于它可以跟持续集成工具(比如jenkins)非常好的对接,作为工具链的的一环,搭建适合自己公司研发项目模式的持续集成流水线,做到快速扫描即时反馈。

这里提供三种我实践过的方式给大家参考。

2.1 本地化代码扫描

为了能让研发同学在编写代码的过程中,可以随时扫描本地代码以做到尽快修复,我们推荐使用sonarlint插件。

SonarLinthttp://www.sonarlint.org/eclipse/index.html 是一个可以安装在IDE(包括IDEA,Eclipse,Visual Studio,VS Code,Atom)中的插件,它可以向开发人员及时反馈Java、JavaScript、PHP、Python…代码中编码时产生的新的缺陷和质量问题

SonarLint是开源、免费的,使用时需要注意,它需要运行在Java 8 环境下,SonarQube 5.6 +

关于sonarlint的使用,后面会单独在工具介绍里面详细。

本方案实践情况:按需选择,建议开发本地安装。

2.2  代码提交后触发扫描

开发提交或者合并代码到功能分支后,会自动触发Jenkins上配置的代码扫描任务,进行构建静测,并自动将静测结果返回开发人员。目的是为了确保每次提交的代码都经过集成验证,代码质量合格且能通过编译。

 

实现方式:

jenkins中需要创建一个Multibranch Pipeline类型的任务,配置gitlab仓库地址,并且往gitlab仓库中传入一个jenkinsfile文件,用于判断分支是否需要进行代码扫描。(实现方式参考:【Gitlab+Jenkins+Sonarqube】 ---- 多分支类型项目代码提交后 触发静态代码扫描的实现)。

对于提测分支和上线分支,不设置代码提交后触发静测(在我们目前的发布上线流程中,提测分支有单独的流程),只针对功能分支(feature)和热修复(hotfix)分支设置。下面的脚本是针对我目前的设置进行配置的,仅供参考。

脚本示例:

#!groovy
def projectProperties = [
        //设置禁止并发
        disableConcurrentBuilds(),
        //保留历史构建记录为3
        buildDiscarder(logRotator(artifactDaysToKeepStr: '', artifactNumToKeepStr: '', daysToKeepStr: '', numToKeepStr: '3')),

        //预设邮件通知人参数
        parameters([
            string(defaultValue: 'qa-ci@xxxx.cn', description: '', name: 'Mail_List', trim: false)
        ])
]
properties(projectProperties)

def Job_Name = "CI.TEST.JOB"

def failed_text = '''<hr/>
    
        很遗憾的通知这次执行失败啦,一定有哪里出了问题,还请点开构建日志仔细检查,或者跟管理员联系 <br/><hr/>
    
        项目名称:$PROJECT_NAME<br/><hr/>
    
        触发原因:${CAUSE}<br/><hr/>
        
        构建日志地址:<a href="http://xxxxx:8080/blue/organizations/jenkins/${Job_Name}/detail/${env.BRANCH_NAME}/${BUILD_NUMBER}/pipeline">http://xxxxx:8080/blue/organizations/jenkins/${Job_Name}/detail/${JOB_NAME}/${env.BRANCH_NAME}/pipeline</a><br/><hr/>
        
        静测结果:<a href="http://xxxxx:9000/dashboard/index/${Job_Name}.${env.BRANCH_NAME}">http://xxxxx:9000/dashboard/index/${Job_Name}.${env.BRANCH_NAME}</a><br/><hr/>
    
        变更集:\${SCRIPT, template="groovy-html.template"}<br/><hr/>'''

//需要触发提交即刻代码扫描的功能分支和热修复分支,根据前缀匹配判断
def Sonar_BranchList = ['feature', 'hotfix']

node('slave-centos') {

    permission = SonarRunBranch(Sonar_BranchList)

    echo "当前分支名:[${env.BRANCH_NAME}]"
    echo "[分支${env.BRANCH_NAME}]:" + "${permission == true ? '将要执行静态代码扫描' : '非feature和hotfix分支无需单独进行代码扫描'}"
	
    if (permission) {

        stage('Checkout') {
            try {
                retry(2) {
                    checkout scm
                }
            }
            catch (exc) {
                echo '代码下载失败了, 请检查配置!'
                emailext body: "${failed_text}",
                        subject: "${JOB_NAME} - Failure!",
                        to: "${params.Mail_List}"
                sh 'exit 1'
            }
        }

        stage('Build') {
            try {
                retry(2) {
                    sh "yarn install"
                    sh "npm run build"
                }
            }
            catch (exc) {
                echo '构建失败了, 请检查配置!'
                emailext body: "${failed_text}",
                        subject: "${JOB_NAME} - Failure!",
                        to: "${params.Mail_List}"
                sh 'exit 1'
            }
        }

        stage('SonarAnalysis') {
            try {
                retry(2) {
                    echo '静态代码检查开始:'
                    withSonarQubeEnv('sonarqube6.5') {
                        sh '/disk1/jenkins/tools/hudson.plugins.sonar.SonarRunnerInstallation/SonarQube_Scanner/bin/sonar-scanner ' +
                                "-Dsonar.projectKey=${Job_Name}.${env.BRANCH_NAME} " +
                                "-Dsonar.projectName=${Job_Name}.${env.BRANCH_NAME} " +
                                '-Dsonar.projectVersion=${BUILD_NUMBER} ' +
                                '-Dsonar.sources=./ ' +
                                '-Dsonar.exclusions=**/node_modules/** ' +
                                '-Dsonar.sourceEncoding=UTF-8'
                    }
                }
            }
            catch (exc) {
                echo '静态代码检查失败了, 请检查配置!'
                emailext body: "${failed_text}",
                        subject: "${JOB_NAME} - Failure!",
                        to: "${params.Mail_List}"
                sh 'exit 1'
            }
        }

        stage ('Mail'){
            emailext body: """<hr/>

			项目名称:\${PROJECT_NAME}<br/><hr/>

			构建日志地址:<a href="http://xxxxx:8080/blue/organizations/jenkins/${Job_Name}/detail/${env.BRANCH_NAME}/${BUILD_NUMBER}/pipeline">http://xxxxx:8080/blue/organizations/jenkins/${Job_Name}/detail/${JOB_NAME}/${env.BRANCH_NAME}/pipeline</a><br/><hr/>	

			静测结果:<a href="http://xxxxx:9000/dashboard/index/${Job_Name}.${env.BRANCH_NAME}">http://xxxxx:9000/dashboard/index/${Job_Name}.${env.BRANCH_NAME}</a><br/><hr/>

			变更集:\${SCRIPT, template="groovy-html.template"}<br/><hr/>""" ,
                    subject: "${JOB_NAME} -静态代码扫描- Successful!",
                    to: "${params.Mail_List}"
        }
    }
}

def SonarRunBranch(Sonar_BranchList) {
    result = false
    for (BranchName in Sonar_BranchList){
        if(env.BRANCH_NAME.startsWith(BranchName)){
            result = true
        }
    }
    result
}

然后开发同学就能从邮件中收到静测结果报告啦。

2.3  测试版本出包前扫描

在提交构建测试版本时,会在构建后进行代码扫描,在整个过程完成后,将构建以及静测结果返回测试,开发人员等。

脚本示例:

3、人员角色

选用了方案之后,我们需要对人员角色进行定义,确保流程得以贯彻。另外,由于Sonarqube原生的规则非常多,需要经过一段时间的摸索,这期间,我们需要经验丰富的开发人员对扫描问题进行把控,判断是否符合业务场景。所以在使用方案初期,我们队不同的人员角色和承担的职责做了划分,配合Sonarqube6.7版本支持的问题分配功能,定制如下:

根据不同人员将承担的职责,我们针对项目每个项目进行如下角色的定义。

角色(权限群组)

权限

说明

Project-Read

能查看该项目的静测报表,不能看到源码仓库。

非开发人员。

Project-DEV

能查看该项目的静测报表,浏览源码仓库。

一般为开发人员。

Project-Master

能查看该项目的静测报表,浏览源码仓库等,同时拥有项目的管理权限,进行权限分配,以及问题管理权限(包括问题等级验证性修改,是否误判和无需修复等)

一般为项目开发负责人,需要对项目的静测扫描结果进行把控。

 

马小飘
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jenkins+sonarqube+sonar-scanner(无ngrok).zip
06-10
总结,Jenkins+SonarQube+Sonar-Scanner的集成方案为软件开发提供了高效的自动化部署和代码质量管理工具。通过合理的配置和使用,可以显著提升开发效率,保证代码质量,降低维护成本。实践过程中,需不断调整和优化...
如何提升软件代码质量
周兆熊的专栏
01-15 1532
我对提高软件代码质量的一些看法。
代码质量如何管控与提升
天行健,君子以自强不息;地势坤,君子以厚德载物。
10-30 2183
开发团队代码质量如何做到管控与提升,我相信很多公司都会面临这样的问题,开发团队大人员技术水平参差不齐,代码写的不够规范,代码扫描问题修改太过滞后,代码库管理每个团队都不一致,偶尔还会合并丢...
如何提高代码质量
BigBug_500的博客
03-06 871
好和坏是一个比较笼统的概率,代码质量高低是一个综合各种因素得到的结论,并不能通过单一的维度去评价一段代码写的好坏。对一段代码质量评价,常常有很强的主观性。比如,怎么样的代码才算可读性好,每个人的评判标准都不大一样。定义解释可维护性、可扩展性能够在不修改或少量修改原有代码的情况下,通过扩展的方式添加新的功能代码。(对修改关闭,对扩展开放)可读性、简洁性思从深而行从简,目的是让他人可以轻松读懂你的代码。列如命名是否规范、注释是否详尽、函数长度是否合适等可复用性。
idea解决程序包不存在报错
热门推荐
过于丰富,无法简介
10-22 6万+
报错效果 楼主发生报错的情况很奇怪,实在SVN上把代码down下来之后导入SVN报的错,理论上代码同事和自己公司电脑都能跑,在自己电脑上跑不了,所以坚信认为是idea的配置问题,但找了好久都没办法弄好,最后在快要绝望的时候弄好了,太意外了。楼主报错的时候idea的Maven仓库地址以及自动导入环境配置好了,但依旧报错,在此集百家之长,总结一下 解决方式(楼主使用的最后一种方式解决的) 1、修改Maven的setting.xml文件配置 设置方式:File—>Setting—>Build
三年无bug,提升代码质量的秘诀
Java和Android架构
04-22 280
最近上一篇:离开互联网上岸1年后,我后悔了!重回大厂内卷该文章来自于阿里巴巴技术协会(ATA)精选文章。对我代码质量影响最大的是在一家外资企业,在这家公司我觉得有以下几个方面做的很不错。团队编码风格统一统一到什么程度? 不看代码作者,你很难区分代码是谁写的(在目前公司一些团队也能达到这个标准)。个人观点:这样做有什么好处?团队中每个人阅读代码都很容易,减少很多沟通,维护成...
docker-compose-jenkins-sonarqube:此docker compose脚本为CI和QA创建环境
01-30
总的来说,这个环境结合了Docker的便捷性、Jenkins的自动化能力以及SonarQube代码质量管理,提供了一套完整的CI/QA流程,帮助开发团队提升开发效率和代码质量。通过学习和实践这样的环境配置,开发者可以深入理解...
sonarqube-6.7.7.rar
09-03
总的来说,SonarQube 6.7.7是一个强大的工具,它通过提供全面的代码质量管理解决方案,帮助开发者和运维团队提升软件的质量、安全性和可维护性。结合Jenkins等CI工具,它能够实现自动化代码审查,促进开发流程的效率...
jenkins-deveops-ms
03-21
9. **安全性**:鉴于 DevOps 文化强调安全性,此系统可能会集成安全扫描工具,如 SonarQube 进行代码质量管理,或者使用 Docker 容器化技术来增强应用的隔离性。 10. **版本控制**:与 Jenkins 集成的版本控制系统...
项目质量控制 代码编写规范
11-12
该文档描述项目质量控制实施计划,以及代码编写的规范准则,这是本人百度了网上许多经验的集锦。
sonarqube-8.8.0.42792.zip
08-29
总的来说,SonarQube 8.8.0.42792版将为用户提供一套全面的代码质量管理解决方案,帮助团队建立和维护高质量的软件项目。在解压后的文件中,用户应能找到启动SonarQube服务器所需的配置文件、数据库连接信息、以及...
SonarQube环境搭建与实践应用
hualusiyu的专栏
02-22 6093
1. 简要介绍SonarQube能够提供对代码的一整套检查扫描和分析功能,拥有一套服务器端程序,然后再通过客户端或者别的软件的插件的形式完成对各开发环境和软件的支持。对编程语言的支持非常广泛,包括C、C++、Java、Objective C、Python、JavaScript、PHP、C#、Swift、Erlang、Groovy等众多语言提供了对HTML、CSS、JSON、XML、CSV、SQL、...
工作那么久,该如何提升代码质量
Herishwater的博客
11-28 601
有这么一句名言“Talk is cheap,Show me the code."不管是新人还是老手,都特别想提高自己的代码质量,至少让别人看的舒服。以往的工作经历中并没有太重视个人编码的能力,包括正确性、美观性还有效率。工作几年的人还写出那么难看的代码,说出去会很丢人的,所以提升编码水平显得尤为迫切。 那么可以从哪些方面着手去提升自己的能力呢? 书籍推荐 《重构》 世界顶级、国宝级别的 Martin Fowler 的书籍,可以说是软件开发领域最经典的几本书之一。目前已经出了第二版。 这是一本值得反复阅读的
如何提高代码质量(管理篇):代码复查
奥塔在线
11-23 736
也许你是一位项目经理,也许你是一位项目骨干成员,或者开发小组长。在我发表“如何提高代码质量”的这一系列文章后,有许多网友都向我抱怨,说他无法把握整个项目组成员的代码质量。我想,这也是所有项目组普遍存在的问题吧,它通常表现为以下几个问题:   软件项目普遍存在的问题   1)新手   任何项目组成员都不可避免地出现新手,他们往往是刚刚从大学毕业的学生。这些新手由于软件开发时间太短,往往技术不成
【DevOps】第五章 SonarQubejenkins集成和优化(二)
YangLeitao的博客
06-05 807
【DevOps】SonarQubejenkins集成和优化(二)
SonarQube 05 CI流水线集成 shell 命令行方式和Jenkins 插件方式
小楼一夜听春雨,深巷明朝卖杏花
06-07 1042
CI流水线集成 shell 命令行方式 流水线中添加代码扫描阶段
提高代码质量的那些建议
yang1fei2的博客
02-13 1914
程序员跟各行各业的手艺人一样,都是靠自己的作品吃饭。所以要想获得高收入和业界的认可就要不断的学习提高自己的业务水平。这里我总结了一些程序员提升代码质量的建议希望能对你的进阶有帮助。 1.提高代码的复用程度 不管是写新代码还是对旧代码的重构,我们一定要注意提高代码的复用性。很多小白写代码的时候只在意业务功能的实现,往往代码就写成了一坨。下次再有类似的需求的时候还得重写,以往的代码一点也用不上,这就导致了大量的重复工作。所以我们在写代码的时候一定要注重代码的复用性,对代码进行有效的分割,实现高内聚低耦合。这
gitlab+harbor+sonarqube+jenkins+maven实现Devops
最新发布
09-14
"本文将介绍如何使用gitlab、harbor、sonarqubejenkins和maven构建一套完整的DevOps解决方案,实现自动化开发、测试和部署流程。" 在DevOps实践中,目标是打破传统的开发、测试和运维之间的壁垒,通过自动化工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值