sonarqube整体框架

已于 2024-05-16 16:48:16 修改
阅读量713 收藏 18
点赞数 18
分类专栏: sonarqube源码解析 文章标签: java
于 2024-05-16 16:34:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18816009/article/details/138949522
版权

目录

整体架构

 1.应用模块架构图

2.sonarqube静态代码扫描全流程

2.1 sonar-scanner解析步骤:

2.2 sonarqube-server执行逻辑

2.2.1 /api/cesubmit接口-SubmitAction.handle

2.2.2 执行分析队列任务-CeWorkerImpl.findAndProcessTask

3.核心数据库表结构

小结

概要

因为sonarqube整个开源项目比较大,这里分为几部分讲解

  1. 整体框架+sonarqube扫描代码的流程
  2. sonar-scanner-cli源码分析
  3. sonarqube源码分析
  4. sonarqube-language源码分析

仅是个人对源码的理解,如有不正确的地方,欢迎讨论

整体架构

 1.应用模块架构图

2.sonarqube静态代码扫描全流程

整体流程包含3部分:

  1. sonar-scanner解析
  2. 执行sonarqube-server的/api/ce/submit接口,将task入队
  3. 从queue中获取task,执行task检测
2.1 sonar-scanner解析步骤:

在执行完解析后在.scannerwork/scanner-report生成如下报告,然后上传到sonarqube,等待sonarqube执行task:

  • activerules.pb:激活的规则信息(语言...key,org_qprofiles_uuid)
  • changesets-xx.pb:修改的文件
  • component-xx.pb:文件语言+文件路径
  • context-props.pb:analysis_properties表的解析数据
  • coverages-xx.pb:覆盖率文件。二进制文件
  • duplications-xx.pb:重复提交文件
  • external-issues-xx.pb:指定文件外部规则解析问题
  • issues-xx.pb:二进制文件
  • measures-xx.pb:二进制文件,度量指标
  • source-xx.txt:源码文件
  • syntax-highlightings-xx.pb:语法高亮显示
2.2 sonarqube-server执行逻辑

sonarqube-server执行分两部分

  1. /api/ce/submit:将report结果入库ce_task_input中
  2. 遍历ce_task_input消息,执行ce_task检测
2.2.1 /api/cesubmit接口-SubmitAction.handle
  1. 如果没有project,就插入project,将project作为mainBranchComponent
  2. 将report以输入流的方式保存在数据库ceTaskInput表中
  3. 录入提交的characteristicDto数据
  4. ceQueue表插入pending-report任务
  5. 组装ceTask并返回
2.2.2 执行分析队列任务-CeWorkerImpl.findAndProcessTask

 加载Steps的类跳转(没有加入参):

CeWorkerImpl.findAndProcessTask()
---> CeWorkerImpl.run()
---> CeWorkerImpl.executeTask()
---> ReportTaskProcessor.process()
---> ContainerFactory.create()
---> TaskContainerImpl()
---> TaskContainerImpl.populateContainer()
---> ProjectAnalysisTaskContainerPopulator.populateContainer()
---> SpringComponentContainer.add()
至此,将全部steps加载到context中

分析流程:

3.核心数据库表结构

数据库(sonarqube 9.9.3.79811)表是在执行sonar-scanner后相关的

小结

这里主要是架构图,为了方便理解,加入了一些源码跳转。后续会更新对应的源码解析。

dddevops
关注
  • 18
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SonarQube架构及使用介绍
skyunlin的专栏
02-16 1万+
SonarQube构架SonarQube框架包含以下四个部分: Project SonarQube Scanner SonarQube Server SonarQube Database Project是需要被分析的源码,如我们的app工程源码,SonarQube支持多种语言和多种工程结构,Andriod是属于一种多模块的java工程。 SonarQube Scanner是用于执行代码分析的工具,
sonarqube-8.9.3.48735.zip
12-09
4. **单元测试覆盖率**:集成与JUnit等测试框架,展示代码被单元测试覆盖的程度,促进测试驱动开发。 5. **安全漏洞检测**:识别可能导致安全风险的代码片段,如SQL注入、跨站脚本攻击等。 6. **质量门限**:允许...
代码审计平台sonarqube的安装及使用
好多可乐的博客
05-07 689
【代码】docker搭建代码审计平台sonarqube
看这里,全网最详细的Sonar代码扫描平台搭建教程
最新发布
apex_eixl的博客
05-31 2353
​ sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 ​
软件测试 | Sonarqube架构
慕漓的博客
03-07 155
3、支持25+编程语言的代码扫描和分析,包含java\python\C#\javascript\go\C++等。​ 代码扫描和分析完成之后,会将扫描结果存储到数据库当中,在sonarQube平台可以看到扫描数据。2、多维度分析代码:代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。通过定义好的 代码质量和安全规则,对开发人员编写的代码进行扫描和分析。将分析的结果多维护的呈现出来,以方便开发人员进行代码的优化和规范编写。4、涵盖了编程语言的静态扫描规则: 代码编写规范+安全规范。
SonarQube
没有简介
12-08 508
Sonar是一个用于代码质量管理的开源平台,用于管理Java源代码的质量。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。 此外,Sonar 的插件还可以对 Java 以外的其
SonarQube 安装及使用
顺其自然~专栏
12-15 961
SonarQube是一款用于代码质量管理的开源工具,是静态代码检查工具,采用 B/S 架构它主要用于管理源代码的质量,可以支持众多计算机语言,比如 php,java, C#, go,C/C++, Cobol, JavaScrip, Groovy 等。sonar 可以通过 PMD,CheckStyle,Findbugs 等等代码规则检测工具来检测你的代码,帮助你发现代码的漏洞,Bug,异味等信息。可以从七个维度检测代码质量:1)复杂度分布(complexity):代码复杂度过高将难以理解。
SonarQube9.2.4
01-22
3. **度量框架**:SonarQube拥有强大的度量框架,能够计算出各种代码质量指标,如COCOMO(Constructive Cost Model)指数、圈复杂度、代码覆盖率等,这些度量有助于评估项目的整体健康状况和改进方向。 4. **持续...
持续集成与持续部署-SonarQube使用教程
11-19
SonarQube的另一个关键特性是其与测试框架的集成,它可以生成代码覆盖率报告,帮助开发者了解测试的充分程度。此外,SonarQube能够无缝集成到持续集成/持续部署(CI/CD)流程中,例如Jenkins和Azure DevOps。当开发者...
AnalysisPip-SonarQube
03-31
5. **持续改进**:通过定期分析和回顾报告,团队可以识别出代码中的常见问题,制定改进策略,并随着时间推移提高整体代码质量。 在AnalysisPip-SonarQube-master压缩包中,可能包含了项目的源码、配置文件、README...
软件测试整体解决方案
12-07
- **高级测试工程师/测试架构师**:负责整个项目的测试规划,设计复杂的测试框架。 - **测试经理/测试总监**:管理整个测试团队,制定测试策略和流程。 ### 软件测试工作模型 常见的软件测试工作模型包括: - **V...
gitlab+jenkins+sonar架构
10-07
gitlab+jenkins+sonar搭建, 以及做综合代码质量分析手册
SonarQube介绍
热门推荐
zzhongcy的专栏
10-26 3万+
SonarQube 是一个开源的代码分析平台, 用来持续分析和评测项目源代码的质量。 通过SonarQube我们可以检测出项目中重复代码, 潜在bug, 代码规范,安全性漏洞等问题, 并通过SonarQube web UI展示出来。 1 Sonar简介 1.1 sonarQube是什么? 1、代码质量和安全扫描和分析平台。 2、多维度分析代码:代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。 3、支持25+编程语言的代码扫描和分析,包含java\python\C#\jav.
测试左移——代码审计SonarQube 平台搭建
伤心的辣条
10-13 58
01 sonarqube代码分析技术体系 代码分析工具 IDE 辅助功能 xcode、android studio 阿里巴巴 java 开发手册 ide 插件支持
Sonarqube的部署和Jenkins配合使用
linuxiaobaibai的博客
04-25 421
SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,本文将会介绍一下这个工具的安装、配置以及使用。
代码质量管理平台 SonarQube 社区版搭建及 C 代码分析
王清欢的博客
01-31 6415
本文介绍如何在 CentOS 环境下搭建代码质量管理平台 SonarQube 社区版,并使用 PostgreSQL 数据库作为其后端数据库;同时,详细说明了如何配置 SonarQube 并使用 sonar-cxx 开源插件进行 C 语言系列项目的静态代码分析。
生产环境sonarqube安装
神棍之路
06-27 539
sonarqube生产环境单节点安装
SonarQube安装部署以及与jenkins集成使用
shy871的博客
03-27 3339
代码质量管理工具SonarQube
SonarQube简介
justlpf的专栏
03-16 358
参考文章:SonarQube简介_DingK123的博客-CSDN博客_sonarqube SonarQube简介 1.sonar简介 sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告; sonar通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级; 同时,sonar可以集成pmd..
struts2之漏洞检查工具2019版
07-04
另外,还有一些综合性的漏洞检查工具,如SonarQube和OWASP Dependency-Check,也可以用于检查struts2框架的安全漏洞。这些工具不仅可以检测struts2特定的漏洞,还可以扫描应用程序的依赖组件,以发现可能存在的漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值