如何使用Sonar进行静态扫描(Windows系统)

已于 2024-04-23 11:09:41 修改
阅读量1.2k 收藏 23
点赞数 15
文章标签: 安全 测试工具
于 2024-04-22 17:16:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40631968/article/details/137886882
版权

Sonar是什么

Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具、代码分析工具,以及持续集成工具。与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。

本文会着重讲解Sonar两个端——界面端和分析端的配置和使用,具体如下
SonarScanner(扫描器):用于将代码提交到SnaorQube进行分析的工具。
SonarQube(分析器):SonarQube是Sonar生态系统的核心组件,是一个开源的代码质量管理平台。

SonarQube下载及安装

1、Sonar下载地址:https://www.sonarsource.com/products/sonarqube/,进入如下页面下载。
在这里插入图片描述
在这里插入图片描述
2、下载完后是一个压缩包,解压完在文件目录中找到bin文件夹,在里面找到自己对应的系统
在这里插入图片描述
3、进到上面文件夹后,点击图内文件或者在地址栏输入“StartSonar.bat”即可运行
在这里插入图片描述
4、

4、之后进到http://127.0.0.1:9000/中,会提示你进行登录(账号密码默认是admin),登录后提示你改下密码,之后就能进到主页了。
在这里插入图片描述

关于汉化

1、从图内位置进入后搜索“chinese”找到中文语言
在这里插入图片描述
在这里插入图片描述
2、这里需要从这点进去,找到跟自己sonar版本一致的汉化包,下载好后解压到本地sonar目录的sonarqube-9.7.0.61563\extensions\plugins路径下。
在这里插入图片描述

在这里插入图片描述
3、之后重启sonar,可以看到首页已经变成中文了。
在这里插入图片描述

如何进行扫描操作

事前准备:

在这里插入图片描述

扫描操作的第一种方法——通过命令行操作

1、首先在我们项目的开始构建命令之前,加入如下代码——》
在这里插入图片描述

命令行中不能出现回车!没条命令之间只能用空格隔开
命令如下:

<sonar-scanner.bat/sonar-scanner.sh的绝对路径> 
-D"sonar.projectKey=<扫描项目名(自定义)>" 
-D"sonar.host.url=<Sonar的服务地址>" 
-D"sonar.login=<Sonar的服务用户名>" 
-D"sonar.password=<Sonar的服务密码>"

具体实例:

D:\sonar-scanner\sonar-scanner\Windows\sonar-scanner-cli-4.7.0.2747-windows\sonar-scanner-4.7.0.2747-windows\bin\sonar-scanner.bat  -D"sonar.projectKey=fuben"  -D"sonar.host.url=http://127.0.0.1:9000"  -D"sonar.login=admin"  -D"sonar.password=111111"

2、之后点击开始构建,因为扫描所需可能需要较长时间才能完成。构建结束后,可以在控制台输出中看到检查过程;在图2的链接中点进去后,就能在sonar上看到具体的检查结果。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

第二种方法——通过插件实现

1、在sonar 服务已经搭建,Jenkins所在主机可以正常访问的情况下,进到jenkins安装插件的界面,搜索“SonarQube Scanner”,安装好后重启Jenkins服务。
在这里插入图片描述
2、进入到Jenkins的Dashboard——Manage Jenkins——Tools中,找到SonarScanner for MSBuild和SonarScanner for MSBuild,参考下图进行安装,之后点击保存。
在这里插入图片描述
在这里插入图片描述

3、然后来到system页面,找到SonarQube servers。按下图方法进行填写,因为凭证配置那有bug,我们通过菜单栏另行配置。
在这里插入图片描述
4、进入Credentials界面,按照下图进行操作获取凭证

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5、进行这一步时,需要到sonarqube的网站获取令牌,之后填写在配置中。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6、之后回到刚刚的system页面,把凭证填进去。
在这里插入图片描述
7、至此,sonar服务的url、账号密码(刚刚的令牌)就已经填好了,再配置sonar.projectKey=扫描项目名 就完成了。我们进入到jenkins中构建页面,在构建前添加构建步骤Execute SonarQube Scanner,并加入如下命令:

sonar.projectKey=SONAR-${JOB_NAME}-${BUILD_NUMBER}

JOB_NAME是项目名,BUILD_NUMBER是版本号,这两是jenkins中的环境变量,会动态发生变化
在这里插入图片描述
8、配置完后点击保存,之后进行构建。等待一段时间后查看日志信息,就能够查看到扫描的信息了。
在这里插入图片描述
在这里插入图片描述

我永远喜欢Amicus
关注
  • 15
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
sonar-scanner-5.0.1.3006-windows
09-11
Sonar Scanner是一种静态代码分析工具,旨在帮助开发者带来更高质量的代码。它提供了一个工作流,通过扫描代码并提供有关编码错误、漏洞、代码异味等方面的问题的反馈,帮助开发团队优化其代码质量。 Sonar Scanner基于SonarQube平台,可利用其强大的规则引擎分析多种编程语言,包括Java、C#、JavaScript、Python、Go等。Sonar Scanner可作为静态代码分析流程的一部分,通过与构建系统集成实现自动化分析,也可在将其作为一个插件运行于IDE中并为开发人员提供快速反馈。
使用sonar-scanner扫描代码
enhenglhm的博客
11-01 2665
sonar-scanner检测前端代码
看这里,全网最详细的Sonar代码扫描平台搭建教程
最新发布
apex_eixl的博客
05-31 2344
sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 ​
SonarQube代码质量管理平台安装与使用
热门推荐
hunterno4的专栏
09-14 21万+
Sonar简介 Sonar是一个用于代码质量管理的开源平台,用于管理源代码的质量,可以从七个维度检测代码质量 通过插件形式,可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测 sonarQube能带来什么? Developers' Seven Deadly Sins 1.糟糕的复杂度分布
Java代码质量分析Sonar
赵广陆
06-18 4605
目录 1. sonar安装 1.1 简介 1.1.1 客户端 1.1.2 sonar 版本区分 1.1.2.1 社区版 1.1.2.2 开发者版 1.1.2.3 企业版 1.2 安装部署 1.2.1 修改文件句柄数 1.2.2 创建挂载目录 1.2.3 创建docker-compose.yml 1.2.4 启动 1.2.4.1 访问测试 1.2.5 安装插件 1.2.5.1 汉化插件 1.3 静态分析插件介绍 1.3.1 什么是静态代码分析 1.3.1.1 静态代码分析优势
程序静默参数扫描工具
11-18
程序静默参数扫描工具 并不时100%能测出
sonar scanner配置
weixin_44128977的博客
06-13 2673
这里记录如何配置sonar scanner扫描C/C++项目代码。话不多说,先上。
SonarScanner扫描本地项目代码
万物皆可学
06-16 2906
Windows一样设置环境变量指定你存放sonarscanner的路径,path添加到bin目录,项目根目录创建sonar-project.properties并设置参数,终端跳到目录路径下执行sonar-scanner即可。接着编辑path的变量,新增一条值,%SONAR_SCANNER_HOME%\bin,指定到你的SonarScanner bin目录。sonar.java.binaries=指定编译目录,官方示例没有提及,如果不设置扫描会报错,可以没有编译目录但必须设置次参数。
静态代码扫描工具 Sonar 配置及使用
洛西纳的专栏
08-21 5852
静态代码扫描工具 Sonar 配置及使用
sonar使用
weixin_41533604的博客
09-29 6077
Sonar使用文档 说明 Sonar使用文档是为了方便开发人员在使用时更快上手. 本文档适用于SonarQube7.6版本. 简介 sonar, 全称sonarqube, 是一个开源的代码质量分析平台,便于管理代码的质量,通过SonarQube 我们可以检测出项目中重复的代码. 潜在BUG, 代码规范, 安全性漏洞等问题, 并通过SonarQube web UI展示出来, 同时, 它提供了丰富的插件,支持多种语言的检测, 如Java、Python、Groovy、C、C...
deploy-sonar代码扫描分析工具
03-01
1. **静态代码分析**:SonarQube可以对多种编程语言(如Java、C#、Python等)进行静态代码分析,找出潜在的错误、漏洞和坏味道。 2. **质量门限**:设置质量门限,当新代码或现有代码的健康状况低于预设标准时,...
sonar-scanner-4.4.0.2170-windows.zip
09-10
Windows系统中,你可以找到如`sonar-scanner.bat`这样的批处理文件,它是启动SonarScanner的主要入口。 3. **lib**:这个目录包含了SonarScanner运行所需的所有库文件,这些库支持SonarScanner进行代码分析、报告...
sonar-scanner-3.2.0-windows
11-26
这个版本特别针对Windows操作系统进行了优化,确保在Windows环境下能顺畅运行。用户只需下载解压后的"sonar-scanner-cli-3.2.0-windiows"文件,配置好相关的环境变量,就可以通过简单的命令行指令启动扫描。 配置...
sonar-scanner-cli-3.0.3.778-windows.zip
01-09
SonarQube扫描器在Windows环境下的应用详解》 SonarQube是一款强大的静态代码分析和持续代码质量管理工具,其核心组件之一是SonarScanner,这是一个轻量级的命令行客户端,用于执行代码质量检查。本文将详细介绍...
Windows配置SonarQube代码审查工具详细步骤(附带IDEA SonarLint插件使用
爱吃鸡腿的明仔
09-03 5055
本篇博客主要环境讲述Windows环境下配置SonarQube代码审查工具的项目步骤(附带Idea SonarLint插件的使用),搭建环境为SonarQube 9.8 + JDK 11 + PostgreSql 14.2
sonar服务器端和客户端的安装和使用
White_Lee的专栏
12-21 604
本篇文章将sonar的安装说明一下: 环境 1.JDK:1.8.0_60 2.sonarqube:sonarqube-5.4版本服务器(mysql5.5包括及以上) 3.sonar-runner:sonar-runner-2.3客户端 4.操作系统 win8 64位 第一步:sonarqube-5.4 解压即可使用,先配置配置文件。 配置: 1.sonarqube-...
静态代码分析工具sonarlint使用一——windows下的makefile工程
security²-卢鸿波-安全二次方
06-09 840
本文以windows下makefile工程初步介绍了静态代码扫描工具sonarlint的使用,如何自动生成compile_commands.json脚本文件,如何查看扫描结果、分析问题、规则配置等。
sonar-scanner扫描参数
耕耘
11-02 2917
sonar-scanner 是一个用于分析代码质量的命令行工具,它基于 SonarQube 平台。SonarQube 是一个开源的代码质量检测平台,可以分析多种编程语言编写的代码,并提供相应的质量报告。通过 sonar-scanner 工具,您可以轻松地对项目代码进行静态分析,从而提高代码质量、降低潜在的错误和风险。
windows安装sonar
08-30
要在Windows上安装SonarQube和Sonar Scanner,你可以按照以下步骤进行操作: 1. 首先,你需要下载并安装SonarQube和Sonar Scanner。你可以从SonarQube官方网站上下载最新版本的软件包。 2. 下载完成后,你需要解压缩软件包并将其安装在你选择的目录中。 3. 接下来,你需要配置系统变量。你可以在系统环境变量中添加Sonar Scanner的路径。确保不要忘记在路径之间添加分号。例如,E:\Program Files\sonar-scanner-cli-4.2.0.1873-windows\sonar-scanner-4.2.0.1873-windows\bin。 4. 打开SonarQube的安装目录,找到bin文件夹下的StartSonar.bat文件,并双击执行它,以启动SonarQube的服务。 5. 一旦SonarQube服务启动成功,你可以在浏览器中访问http://localhost:9000/,以打开SonarQube的Web界面。 6. 在SonarQube的Web界面中,你可以进行相关的配置和管理,例如创建项目、设置规则等。 以上是在Windows上安装SonarQube和Sonar Scanner的简要步骤。如果你在安装过程中遇到任何问题,可以参考引用中提供的详细说明,或者向相关社区寻求帮助。祝你安装顺利,学习进步!<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [sonar安装配置说明](https://download.csdn.net/download/qq_31005473/10588635)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [windows下搭建sonarqube环境及使用](https://blog.csdn.net/junR_980218/article/details/124210735)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值