简介
SonarQube一款自动化的代码检查的工具,可以检测代码bug、代码漏洞和不良的代码风格。你可以将整合到你所在工作流当中,通过分支的pull请求触发Sonar进行扫描。也可以整合到 Jenkins中,在构建项目时触发Sonar。
下载 SonarQube
注意这里下载的是SonarQube服务器,它只是用来收集扫描结果和展示结果的。还要需要一个Sonar-Scanner, 它是可以单独的一个组件或者是jenkins里面的插件等等。
从官网下载sonarQube指定版本,我这里下载的是社区版SonarQube7.6.
(因为官网上面说新的版本不支持mysql数据库了,而且jdk只支持jdk11,或者OpenJDK)
解压文件到指定目录下
unzip sonarqube-7.6.zip -d /opt/sonarqube
配置数据库
SonarQube服务器需要一个数据库来储存数据,当前版本8.2已经不支持mysql了。SonarQube7.6只能用mysql5.6或mysql5.7,不支持其它版本的Mysql。但是可以支持其它类型的数据库,并且它有内置的H2内存型数据库。
连接mysql, 新建数据库sonar
create database sonar default character set utf8 collate utf8_general_ci;
修改SonarQube服务器的配置文件 $SOANR_HOME/conf/sonar.properties
echo "
# 数据库连接 url
sonar.jdbc.url=jdbc:mysql://localhost:3306/sonar? useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=false
# 数据库连接账号
sonar.jdbc.username=root
# 数据库连接密码
sonar.jdbc.password=123456
sonar.sorceEncoding=UTF-8
# 设置sonar的登录账号
sonar.login=admin
# 设置sonar的登录密码
sonar.password=admin
" >> $SOANR_HOME/conf/sonar.properties # $SOANR_HOME是sonarqube-xx.zip解压之后的根目录
启动SonarQube服务器
在启动SonarQube之后需要注意,由于SonarQube中有elasticsearch服务( elasticsearch默认占用9001端口),所以机器必须要开通9001端口,
并且启动es (版本es5+) 需要非root用户,需要新建一个用户
adduser sonar # 新建用户
chown -R sonar $SONAR_HOME # 将sonarqube文件及其子文件的拥有者设置为sonar用户
./$SONAR_HOME/bin/[os]/sonar.sh console # 如果是Linux64位的,[os]就是linux-x86-64, console 命令行启动
启动成功的标志
-
会有SonarQube is up*(在最底行)*
-
查看sonar数据库会有很多表新生成
安装汉化包
SonarQube版本与对应的汉化包地址sonar-l10n-zh
我下载的版本是SonarQube7.6对应版本是sonar-l10n-zh-1.26,文件名为sonar-l10n-zh-plugin-1.26.jar, 这里吐槽一下,其实翻译之后感觉更看不懂了。
Sonar与Jekins结合
SonarQube Scanner
下载SonarQube Scanner for Jenkins_2.11, 下载文件为sonar.hpi,将文件上传到Jenkins中
或者在线下载,安装成功后,显示已安装
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P9Vk2f1Q-1582816451490)(/Users/tangdunhong/Documents/images/jenkins_plugin-sonar.png)]](https://img-blog.csdnimg.cn/20200227232317580.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM4Mzc3ODQ2,size_16,color_FFFFFF,t_70)
配置SonarQubeServer
到系统管理–>系统配置–>SonarQube servers配置SonarQube服务器
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Prw3Gius-1582816451490)(/Users/tangdunhong/Documents/images/jenkins_sonarqube_server.png)]
Name可以自定义, Server URL要填写SonarQube服务器的地址, Server authentication token是在SonarQube服务器中生成的令牌,也可以不填,如果不填Server authentication token,则需要在Jenkins任务中填写账号密码。
在Jenkins任务中配置SonarQube Scanner的触发条件,可以在构建成功之后触发SonarQube Scanner扫描代码
配置代码扫描规则
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cwzNVNvt-1582816451492)(/Users/tangdunhong/Documents/images/
)]
JDK指定启动Scanner的JDK, Additional arguments可以填写-X,表示输出Scanner的日志。
下面是配置Analysis properties
单一项目
sonar.projectKey=diary # 项目的key(应该是启动唯一标识吧)
sonar.projectName=diary # 项目的名称
sonar.projectVersion=1.0-SNAPSHOT # pom.xml文件中项目版本
sonar.language=java # 语言 java
sonar.sourceEncoding=UTF-8 # 字符编码 UTF-8
sonar.login=admin # 如果没有SonarQube的令牌则需填写服务器登录账号
sonar.password=admin # 如果没有SonarQube的令牌则需填写服务器登录密码
sonar.sources=./src # 源代码位置
sonar.java.binaries=./target/classes # 字节码位置
sonar.java.libraries=./target/*.jar # 字节码位置或jar包
多个项目
多个项目(模块)的扫描的方式有多种,可以用Maven的插件,通过Maven构建,不过与这里的Jenkins主题不符了。
我这里的方案是checkout多个模块,分别放在不同的文件夹中
在后面执行shell,把源码构建和打包
cd project1
mvn install -Dfile.encoding=UTF-8 -Dmaven.test.skip=true
cd ../project2
mvn install -Dfile.encoding=UTF-8 -Dmaven.test.skip=true
配置Analysis properties
sonar.projectKey=diary # 项目的名称(应该是启动唯一标识吧)
sonar.projectName=diary # 项目的名称
sonar.projectVersion=diary_${projectVer} # 项目版本,这里的参数可配
sonar.language=java # 语言 java
sonar.sourceEncoding=UTF-8 # 字符编码 UTF-8
sonar.login=admin # 如果没有SonarQube的令牌则需填写服务器登录账号
sonar.password=admin # 如果没有SonarQube的令牌则需填写服务器登录密码
sonar.projectBaseDir=../ #这里没有用当前目录的原因是上面shell执行后,当前目录变成了project1, 还没试过如果不用cd命令,当前目录会不会是任务目录。
# 开始分多个模块
sonar.modules=project1,project2
project1.sonar.sources=./src # 源代码位置
project1.sonar.projectKey=project1_key
project1.sonar.projectKey=project1
project1.sonar.java.binaries=./target/classes # 字节码位置
project1.sonar.java.libraries=./target/*.jar # 字节码位置或jar包
project2.sonar.sources=./src # 源代码位置
project2.sonar.projectKey=project2_key
project2.sonar.projectKey=project2
project2.sonar.java.binaries=./target/classes # 字节码位置
project2.sonar.java.libraries=./target/*.jar # 字节码位置或jar包
SonarQube添加阿里的p3c-pmd规范
下载sonar-p3c-pmd
我下载的文件为sonar-pmd-plugin-3.2.0-SNAPSHOT.jar,将下载的jar包放在$JONAR_HOME/extension/plugins目录下,删除之前的pmd插件(如果有的话),并重启SonarQube服务。
重启后,在质量配置中可以看到java中多了个p3c配置规则,如果没有可以新建质量配置,取名c3p。
点击这个模板可以进入这个模板的编辑页面
点击更多激活规则, 输入p3c,过滤出阿里新增的51条规范,点击批量修改 -> 活动,激活这51条代码规范,当然也可以增加其它的规范。
初试牛刀
安装find bugs插件
插件为jar包,放在SONAR_HOME/extension/plugins/下面,SONAR_HOME是sonar服务器的安装路径
插件版本地址, 一般下载最新版本就好了,它是兼容sonarqube的老版本。
安装chedk stype插件
插件为jar包,放在SONAR_HOME/extension/plugins/下面,SONAR_HOME是sonar服务器的安装路径
插件版本地址, 根据版本对应安装,它是新版本兼容sonarqube的新版本。
FAQ
eleasticsearch报错不能用root用户登录
新建其它用户
adduser sonar # 新建用户sonar
chown -R sonar:sonar SONAR_HOME # 一定给该用户授权,不然会报错,新加入插件后要重新授权 .--.
eleasticsearch报错文件数有限制
vi etc/security/limits.conf
sonar soft nofile 65536 # sonar用户可以创建文件数量警告的设定,可以超过这个设定值,但是超过后会有警告。
sonar hard nofile 65536 # sonar用户可以创建文件最大数量
eleasticsearch内存有限制
max_map_count文件包含限制一个进程可以拥有的VMA(虚拟内存区域)的数量
vi etc/sysctl.conf
vm.max_map_count=262144
服务器不时间不同导致 sonar启动失败
我遇到这个古怪的问题,这个问题可能是jar包本身有问题,在不同的系统里面用了tar打包工具,出现的。还有一种可能是压缩时的机器时区跟解压的时区不一致。
报这个错误 Unable to read plugin manifest from jar
解决方法:同步服务器时间,或者下载正确的包,或者用正确的方式打包。
安装的环境中没有unzip工具,但是下载的包是zip格式的
如果要安装的环境是linux,最好用linux解压再压缩。
我用Mac里的unzip进行解压,然后用tar -czvf 进行压缩结果出问题了,好像是报上面那个错误。
用unzip工具解压,然后用tar czvf xx.tar.gz files打包,在要安装的环境用tar
unzip xx.zip
tar czvf xx.tar.gz sonarqube_version
tar xzvf xx.tar.gz -D /path/to/extract
584
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
