sonarqube代码审核

最新推荐文章于 2023-08-21 15:21:45 发布
最新推荐文章于 2023-08-21 15:21:45 发布
阅读量657 收藏
点赞数
分类专栏: 容器化部署 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mtsunbw/article/details/112275051
版权

参考链接: https://blog.csdn.net/cyfblog/article/details/97535868

SonarQube简介

  • SonarQube是一个开源的平台,以执行与代码的静态分析,自动审查,可以检测在25+的编程语言如Java、C#、JavaScript、TypeScript、C/C++、COBOL等的代码缺陷和安全漏洞。

Sonar检测维度

Sonar可以从七个维度进行代码质量检测,我们可以根据不同维度的严重性然后根据我们的经验做出相应的代码优化。

  • 代码规范
    Sonar可以通过PMD、CheckStyle、Findbugs等代码规则检测工具来检测我们代码是否符合代码规范;
  • 潜在的缺陷
    Sonar可以通过PMD、CheckStyle、Findbugs等代码规则检测工具来检测我们代码是否有代码缺陷(比如空指针是否有判断、IO流是否有关闭等);
  • 糟糕的复杂度分布
    文件、类、方法等,如果复杂度过高将难以改变,这会使得开发人员难以理解它们 且如果没有自动化的单元测试,对于程序中的任何组件的改变都将可能导致需要全面的回归测试
  • 重复代码
    程序中包含大量复制粘贴的代码是质量低下的,sonar可以展示源码中重复严重的地方
  • 注释的检测
    没有注释将使代码可读性变差,特别是当不可避免地出现人员变动时,程序的可读性将大幅下降 而过多的注释又会使得开发人员将精力过多地花费在阅读注释上,亦违背初衷
  • 单元测试
    sonar可以很方便地统计并展示单元测试覆盖率
  • 糟糕的设计
    通过sonar可以找出循环,展示包与包、类与类之间相互依赖关系,可以检测自定义的架构规则 通过sonar可以管理第三方的jar包,可以利用LCOM4检测单个任务规则的应用情况, 检测耦合。

docker搭建Sonar server:

使用postgresql数据库
  • 搭建postgresql
docker run -d -p 5432:5432 --name postgresql --restart=always -e POSTGRES_USER=sonar -e POSTGRES_PASSWORD=sonar postgres
  • 重新构建sonar镜像,下载汉化包
FROM sonarqube
ADD sonar-l10n-zh-plugin-8.6.jar /opt/sonarqube/extensions/plugins/
启动Sonar server
docker run -d -p 9000:9000 --name sonar --link postgresql:postgresql --restart=always -e SONARQUBE_JDBC_URL=jdbc:postgresql://postgresql:5432/sonar -e SONAR_JDBC_USERNAME=sonar -e SONAR_JDBC_PASSWORD=sonar sonarqube:zh_CN

  • sonar.jdbc.username=sonar #数据库配置,Name&&Passwd

  • sonar.jdbc.password=sonar

  • 解决报错

max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
  • 解決方法:
sudo  vim /etc/sysctl.conf 

#追加内容:
vm.max_map_count=655360
#执行:
sysctl -p
> vm.max_map_count = 655360
连接SonarQube

http://192.168.10.186:9000
登录:
USER:admin
Passwd:admin
首次登陆修改密码:××××××
在这里插入图片描述

sonarqube使用:

项目测试
[root@CentOS-7-Docker ~]# ls 
tests-project-java
从Docker镜像运行SonarScanner
#新建vim myproject.sh文件
vim myproject.sh

#!/bin/sh
#要使用SonarScanner Docker映像进行扫描,请使用以下命令:
docker run -d \
       --rm \
       -e SONAR_HOST_URL=http://192.168.10.186:9000 \  
       -e SONAR_LOGIN="a319b5f7f2143901a6db2c835dd5acbdde5dfc62" \
       -v /root/tests-project-java:/usr/src \
       sonarsource/sonar-scanner-cli \
       -Dsonar.projectKey=myproject \
       -Dsonar.sources=src \
       -Dsonar.language=java \
       -Dsonar.java.binaries=.
       
[root@CentOS-7-Docker ~]# ls 
tests-project-java  myproject.sh
  • 指令说明
  • docker 指令:
    -v /root/tests-project-java:/usr/src #将项目目录映射到插件动作路径以进行检测
    --e SONAR_HOST_URL #指定sonarqube地址
    -e SONAR_LOGIN #指定为用户生成的令牌
    在这里插入图片描述
  • scanner指令:
    sonarsource/sonar-scanner-cli #运行SonarScanner插件的镜像
    -Dsonar.projectKey #指定项目的Key 检测完成后可以以Key作为检测完成的项目的名称(必须指定且唯一)
    -Dsonar.sources #指定需要分析的源码的目录,多个目录用英文逗号隔开
    -Dsonar.sourceEncoding=UTF-8 #源代码的编码。默认为默认系统编码
检测完成

在这里插入图片描述

docker compose参考:

version: '3'

services:
  db:
    image: postgres:12
    container_name: postgresql
    environment:
      POSTGRES_USER: sonar
      POSTGRES_PASSWORD: sonar
    volumes:
      - "./postgresql:/var/lib/postgresql"
    ports:
      - "5432:5432"
  sonarqube:
    image: sonarqube:8-community
    container_name: sonarqube
    depends_on:
      - db
    environment:
      SONAR_JDBC_URL: jdbc:postgresql://db:5432/sonar
      SONAR_JDBC_USERNAME: sonar
      SONAR_JDBC_PASSWORD: sonar
    volumes:
      - "./sonarqube/data:/opt/sonarqube/data"
      - "./sonarqube/extensions:/opt/sonarqube/extensions"
      - "./sonarqube/logs:/opt/sonarqube/logs"
      - "./sonarqube/temp:/opt/sonarqube/temp"
    ports:
      - "9000:9000"
  • 安装汉化插件
    在这里插入图片描述

gitlab-runner配置

  • 新建一个runner用来运行.gitlab-ci.yml
Please enter the gitlab-ci coordinator URL (e.g. https://gitlab.com/):
https://192.168.10.186    #gitlab地址
Please enter the gitlab-ci token for this runner:
XYJzuykzsBCtKTxpF6KQ    #项目runner令牌
Please enter the gitlab-ci description for this runner:
[9160067e9705]:sonar-scanner   #runner描述
Please enter the gitlab-ci tags for this runner (comma separated):
sonar-200   #标签
Registering runner... succeeded                     runner=XYJzuykz
Please enter the executor: docker-ssh+machine, kubernetes, shell, virtualbox, docker+machine, parallels, ssh, custom, docker, docker-ssh:
docker   #指定用来执行的命令
Please enter the default Docker image (e.g. ruby:2.6):
sonarsource/sonar-scanner-cli   #指定可执行的镜像
Runner registered successfully. Feel free to start it, but if it's running already the config should be automatically reloaded!
  • .gitlab-ci.yml
stages:
  - sonar
  - build
  - deploy

cache:
  paths:
    - node_modules/

variables:
  PORT: "7090"
  PREPRED_DOMAIN: "twww"
  PRED_DOMAIN: "dwww"
  PROD_DOMAIN: "www"
  KUBECONFIG: /etc/deploy/config
  LAN_REPO: registry-vpc.cn-beijing.aliyuncs.com
  WAN_REPO: registry.cn-beijing.aliyuncs.com
  DEV_REPO:  qianjia_dev
  PRED_REPO: qianjia_pred
  PROD_REPO: qianjia_prod
  SONAR_HOST_URL: "http://192.168.10.186:9000"

#代码检测
sonar_check_job:
  image: registry.cn-beijing.aliyuncs.com/qianjia2018/qianjia_public/sonar-scanner:4.5
  stage: sonar
  before_script:
    - CONTAINER_NAME=`echo $CI_PROJECT_NAME | tr 'A-Z' 'a-z'| tr '_' '-'`
  script:
    - sonar-scanner -Dsonar.login=admin -Dsonar.password=admin -Dsonar.projectName=$CONTAINER_NAME  -Dsonar.projectKey=$CONTAINER_NAME -Dsonar.projectVersion=1.0 -Dsonar.sources=. -Dsonar.language=js -Dsonar.java.binaries=.
  allow_failure: true
  tags: 
    - sonar-scanner
  only:
    - dev
    
#项目构建
build_push_image_dev_job:
  image: registry-vpc.cn-beijing.aliyuncs.com/qianjia2018/qianjia_public:mvn-docker-kube
  stage: build
  before_script:
    - docker login --username=$USERNAME --password=$PASSWORD registry-vpc.cn-beijing.aliyuncs.com
    - CONTAINER_NAME=`echo $CI_PROJECT_NAME | tr 'A-Z' 'a-z'| tr '_' '-'`
    - TAG=`expr substr $CI_COMMIT_SHA 1 8`
  script:
    - docker build -t $LAN_REPO/$DEV_REPO/$CONTAINER_NAME:$TAG -f Dockerfile-dev .
    - docker push $LAN_REPO/$DEV_REPO/$CONTAINER_NAME:$TAG
  tags:
    - k8s
  only:
    - dev
  when: on_success

#项目部署
deploy_to_dev_job:
  stage: deploy
  before_script:
    - CONTAINER_NAME=`echo $CI_PROJECT_NAME | tr 'A-Z' 'a-z'| tr '_' '-'`
    - TAG=`expr substr $CI_COMMIT_SHA 1 8`
  script:
    - bash ~/.local/bin/f200.sh  $CONTAINER_NAME  $PORT  80  $WAN_REPO/$DEV_REPO/$CONTAINER_NAME:$TAG  guojia  192.168.10.200
  tags:
    - ssh-deploy
  only:
    - dev
  when: on_success
  • 代码检测脚本说明:
    -Dsonar.host.url=http://192.168.10.186:9000 #sonar 要用的 ip 和端口
    -Dsonar.sourceEncoding=UTF-8 #源代码编码
    -Dsonar.login=admin #登录用户名及密码
    -Dsonar.password=admin
    -Dsonar.projectKey= #指定项目的Key 检测完成后可以以Key作为检测完成的项目的名称(必须指定且唯一)
    -Dsonar.sources #指定需要分析的源码的文件位置,多个目录用英文逗号隔开
    -Dsonar.language=js #语言
    -Dsonar.projectVersion=1.0 #项目版本
    -Dsonar.java.binaries=. #target
mtsunbw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SonarQube代码审核详细过程
桃花飞绿水
06-20 2843
公司uat部署之前需要代码审核问题和注释量等,一般是通过SonarQube+xshell+xftp来实现,以下是详细步骤:1、把idea里文件的src代码export出来,打成zip压缩文件2、SonarQube网址:http://10.19.150.156:9000/sessions/new,登陆账号进入3、打开xshell 5,登陆账号密码,首页会直接打开一个会话框:创建会话连接,主机输入测试...
Jenkins SonarQube代码审查
小妖666个人笔记
06-27 484
首先要在虚拟机上部署SonarQube https://yunan.blog.csdn.net/article/details/106978435 jenkins安装SonarQube Scanner插件 然后打开Global Tool Configuration 点击新增 点击保存 打开Configure System 然后在项目根目录下新建文件sonar-project.properties sonar.projectKey=com-web-yunan sonar.proj
静态代码扫描工具 Sonar 配置及使用
最新发布
洛西纳的专栏
08-21 5663
静态代码扫描工具 Sonar 配置及使用
SonarQube代码审查
Aizen_Sousuke的博客
08-06 319
Linux安装SonarQube 7.9之后不在支持mysql 安装mysql数据库,创建sonar数据库 解压sonarqube-9.0.0.45539.zip 安装unzip yum install unzip 解压 unzip sonarqube-9.0.0.45539.zip 重命名 mv /sonarqube-9.0.0.45539 /sonar 修改权限(sonar以root启动会报错) 创建sonar用户 useradd sonar 更改sonar目录及文件权限
Jenkins - sonarqube 代码审查
北海牧野
07-23 411
Jenkins - SonarQube 代码审查一、安装部署 SonarQube1、全部搭建在 jenkins 主机,环境要求安装 JDK1.8安装 Mysql,并创建 SonarQube 数据库、用户安装 SonarQube2、修改 sonar 配置文件3、修改 ElasticSearch 所需要的文件描述符 、虚拟内存4、启动 sonarQube二、 实现代码审查1、访问 sonar2、生成一个 token 编码,token编码名字自定义3、jenkins 安装插件,设置 sonarQube三、非流水线
sonarqube 代码检查
weixin_30823227的博客
01-21 103
再好的程序员也会出bug,所以代码检查很有必要。今天就出一个简单的检查工具代替人工检查。 参考: http://www.cnblogs.com/qiaoyeye/p/5249786.html 环境及版本 jdk: 1.7 sonarqube:http://www.sonarqube.org/downloads/ 我这里使用 sonarqube-5.3.zip S...
Gradle进阶使用结合Sonarqube进行代码审查的方法
08-26
今天小编就为大家分享一篇关于Gradle进阶使用结合Sonarqube进行代码审查的方法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
sonarQube_8.3.0.zip
05-21
SonarQube是一款强大的开源平台,专注于代码质量管理、代码审核和白盒测试。它通过静态分析帮助开发者发现和修复代码中的潜在缺陷、漏洞和代码异味,从而提高软件的质量和安全性。该平台支持多种编程语言,如Java、...
3种常用代码检查审核管理工具
03-09
其中,你可以添加代码审核步骤,比如使用内置的代码质量分析器或与其他外部工具(如 SonarQube)集成。安装 GitLab 需要设置服务器,然后为项目启用 CI/CD 功能,并编写相应的配置文件。 这些工具的应用可以帮助...
代码安全审计及相关服务内容概述
12-31
- 自动化工具扫描:利用静态代码分析工具(如SonarQube、Fortify)快速扫描大量代码,找出常见安全模式。 - 动态分析:通过运行时测试,模拟攻击行为以检测漏洞。 3. 相关服务内容: - 前期咨询:为开发团队提供...
sonarqube-7.9.4.zip
09-22
代码审核系统sonarqube版本7.9.4 代码审核系统sonarqube版本7.9.4 代码审核系统sonarqube版本7.9.4
sonarqube 自动代码审查
weixin_33881140的博客
02-14 167
1、docker 拉取sonarqube docker pull sonarqube    2、启动docker docker run -d --name sonarqube -p 9000:9000 sonarqube    3、然后打开http://192.168.4.10:9000(SonarQube服务器),输入账号:admin 密码:admin,即可...
SonarQube代码审查工具
代码缔造者的博客
09-11 6035
介绍 SonarQube ® 是一种自动代码审查工具,用于检测代码中的错误、漏洞和代码异味。它可以与您现有的工作流程集成,以支持跨项目分支和拉取请求的持续代码检查 安装 下载SnoarQube 版本:7.5 支持jdk1.8 https://binaries.sonarsource.com/Distribution/sonarqube/ 下载汉化包 SnoarQube 7+ https://github.com/xuhuisheng/sonar-l10n-zh 下载p3c 为修改分析规则服务的插件
Jenkins骚操作第七章sonarqube代码审查
HYMajor的博客
02-18 1489
文章目录一、sonarqube简介二、安装MYSQL 一、sonarqube简介 SonarQube是一个用于管理代码质量的开放平台,可以快速的定位代码中潜在的或者明显的错误。目前支持java,C#,C/C++,Python,PL/SQL,Cobol,JavaScrip,Groovy等二十几种编程语言的代码质量管理与检 测,底层使用elasticsearch作为代码检索工具 官网:https://www.sonarqube.org/ | 软件 服务器 版本 jdk 192.168.1
可持续化集成(十)之SonarQube代码审查
weixin_53998054的博客
07-12 1247
jenkins+SonarQube代码审查
代码质量检测-SonarQube
weixin_40559666的博客
11-30 1万+
SonarQube快速上手使用集成gitlab流水线控制
Sonar(代码质量审查)-快速上手
Just do it!
01-01 1208
引言  SonarQube 是一个开源的代码质量管理系统,可以实现代码质量的全面自动化分析与管理。这次主要想写一篇可以让新手快速上手的指南文章,关于代码质量管理的发展以及Sonar的优势、特性会另起文章详细说明。搭建Windows 下载并解压SonarQube [https://www.sonarqube.org/downloads/] 解压至: C:\sonarqube 启动SonarQube
部署SonarQube代码检测服务以及jenkins实现代码自动测试、自动部署
热门推荐
eagle89的专栏
11-19 4万+
【摘要】 1.SonarQube部署前的内核参数等配置以及java环境配置1)修改内核参数配置,使满足环境要求[ root@sonarqube ~]# vim /etc/sysctl.conf vm.max_map_count=262144 fs.file-max=65536 [root@sonarqube ~]# sysctl -p #生效修改的内核参数…… vm.max_map_count ... 1.SonarQube部署前的内核参数等配置以及java环境配置 1)修改内核参数配置
Sonar原理、安装及配置
yuanxinghua33的博客
08-14 1724
什么是Sonar? Sonar是一个用于代码质量管理的开源平台,用于管理代码的质量,通过插件形式可以支持二十几种语言的代码质量检测,通过多个维度的检查了快速定位代码中潜在的或者明显的错误。 它能做些什么呢? (1) 不遵循代码标准 SonarQube可以通过PMD,CheckStyle,Find bug s等等代码规则检测工具规范代码编写。 (2) 潜在的缺陷 SonarQube可以通过PMD,CheckStyle,Find bugs等等代码规则检测工具检 测出潜在的缺陷。 (3) 糟糕的复杂度分布 文件、
sonarqube代码扫描
05-13
SonarQube是一款开源的代码质量管理平台,可以用来进行代码扫描和静态代码分析。它可以帮助开发人员自动化地检测代码质量问题,并提供有关如何解决这些问题的建议。 使用SonarQube进行代码扫描主要分为以下几个步骤: 1. 安装SonarQube服务器:可以从SonarQube官方网站上下载并安装SonarQube服务器,也可以使用Docker等容器技术进行部署。 2. 集成构建工具和代码扫描插件:SonarQube支持各种构建工具和编程语言,例如Maven、Gradle、Ant、Jenkins等。需要在项目中集成相应的插件,并在构建过程中执行SonarQube扫描命令。 3. 运行代码扫描:在项目构建过程中执行SonarQube扫描命令,将扫描结果上传到SonarQube服务器。 4. 查看扫描结果:在SonarQube服务器上查看代码扫描结果,包括代码质量分数、代码缺陷、安全漏洞等,以及相应的修复建议。 通过使用SonarQube进行代码扫描,可以帮助开发人员及时发现和修复代码质量问题,提高代码质量和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值