软件测试学习笔记丨静态测试与代码审计 SonarQube

丹力

于 2024-08-30 02:40:27 发布

阅读量152

点赞数

文章标签：学习笔记

本文转自测试人社区，原文链接： https://ceshiren.com/t/topic/32049

一，SonarQube 平台搭建

1.1，介绍

Sonar 是一个用于代码质量管理的开放平台。通过插件机制，Sonar 可以集成不同的测试工具、代码分析工具，以及持续集成工具。与持续集成工具（例如 Hudson/Jenkins 等）不同，Sonar 并不是简单地把不同的代码检查工具结果（例如 FindBugs，PMD 等）直接显示在 Web 页面上，而是通过不同的插件对这些结果进行再加工处理，通过量化的方式度量代码质量的变化，从而可以方便地对不同规模和种类的工程进行代码质量管理。

SonarQube(分析器)：SonarQube是Sonar生态系统的核心组件，是一个开源的代码质量管理平台。

1.2， sonarqube 技术架构

软件测试学习笔记丨静态测试与代码审计 SonarQube_代码分析

1.3，Windows环境下载

下载地址： www.sonarsource.com/products/sonarqube

1.4， Linux环境部署

（1）创建容器网络： docker network create sonarqube

（2）创建数据库容器实例：

docker run -d --name sonarqube_postgres --network sonarqube  -e POSTGRES_USER=sonarqube -e POSTGRES_PASSWORD=sonarqube -e PGDATA=/var/lib/postgresql/data/pgdata -v $PWD/postgresql_data:/var/lib/postgresql/data  postgres

（3）创建sonarqube容器实例，可以通过-Xms4g -Xmx4g增加下ES的堆内存大小

mac环境需要加 -e SONAR_SEARCH_JAVAADDITIONALOPTS=“-Dbootstrap.system_call_filter=false”

docker run -d --name sonarqube_hogwarts -p 9000:9000 -p 9092:9092 --network sonarqube -e SONARQUBE_JDBC_USERNAME=sonarqube -e SONARQUBE_JDBC_PASSWORD=sonarqube -e SONARQUBE_JDBC_URL="jdbc:postgresql://sonarqube_postgres/sonarqube" -e SONAR_SEARCH_JAVAADDITIONALOPTS="-Xms2g -Xmx2g" -e SONARQUBE_WEB_JVM_OPTS="-Xms1g -Xmx1g" -v $PWD/sonarqube_data:/opt/sonarqube/data  -v $PWD/sonarqube_extensions:/opt/sonarqube/extensions  -v $PWD/sonarqube_logs:/opt/sonarqube/logs   sonarqube

（4）个别平台存在的 CONFIG_SECCOMP_FILTER 问题，解决方法如下：

docker run -d --name sonarqube_hogwarts --platform linux/x86_64 -p 9000:9000 -p 9092:9092 --network sonarqube --user $(id -u):$(id -g)  -e SONARQUBE_JDBC_USERNAME=sonarqube  -e SONARQUBE_JDBC_PASSWORD=sonarqube -e SONARQUBE_JDBC_URL="jdbc:postgresql://sonarqube_postgres/sonarqube"  -e SONAR_SEARCH_JAVAADDITIONALOPTS="-Dbootstrap.system_call_filter=false -Xms2g -Xmx2g"  -e SONARQUBE_WEB_JVM_OPTS="-Xms2g -Xmx2g" --ulimit nofile=524288:524288  -v $PWD/sonarqube_data:/opt/sonarqube/data  -v $PWD/sonarqube_extensions:/opt/sonarqube/extensions  -v $PWD/sonarqube_logs:/opt/sonarqube/logs  sonarqube

（5）打开登陆页面

地址： http://127.0.0.1:9000/
默认账号密码： admin/admin

（6）环境配置

划分组与用户

软件测试学习笔记丨静态测试与代码审计 SonarQube_代码分析_02

生成 token

软件测试学习笔记丨静态测试与代码审计 SonarQube_maven_03

环境变量设置

为了方便命令复用，后面命令中可变内容使用环境变量来表示 $SQ_HOST

SQ_HOST=http://127.0.0.1:9000
SQ_TOKEN=你自己sonarqube环境的TOKEN

SQ_HOST=https://sonarqube.stuq.ceshiren.com
SQ_TOKEN=a22c79622b232ffb002053a06b5cb3140da87b41

二，SonarScanner 使用

2.1 工具下载

SonarScanner（扫描器）：用于将代码提交到SnaorQube进行分析的工具。

软件测试学习笔记丨静态测试与代码审计 SonarQube_代码分析_04

下载成功后，检查是否配置成功
sonar-scanner -h

软件测试学习笔记丨静态测试与代码审计 SonarQube_postgresql_05

三， sonarqube maven 项目分析

3.1 maven 全局配置

<settings>
    <pluginGroups>
        <pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
    </pluginGroups>
    <profiles>
        <profile>
            <id>sonar</id>
            <activation>
                <activeByDefault>true</activeByDefault>
            </activation>
            <properties>
                <!-- Optional URL to server. Default value is http://localhost:9000 -->
                <sonar.host.url>
                  http://myserver:9000
                </sonar.host.url>
            </properties>
        </profile>
     </profiles>
</settings>

3.2 使用特定版本 scanner maven 插件

mvn sonar:sonar
mvn org.sonarsource.scanner.maven:sonar-maven-plugin:3.7.0.1746:sonar
mvn org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar

3.3 代码分析基本命令

#编译后直接分析
mvn clean compile sonar:sonar
#执行单元测试后分析，用于收集单元测试与单测覆盖率
mvn clean test sonar:sonar
#执行集成测试后分析，用于收集集成测试与集成测试覆盖率
mvn clean verify sonar:sonar

3.4 maven 单模块项目代码分析

使用命令：

cd maven-basic
mvn clean verify \
  org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
  -Dsonar.host.url=$SQ_HOST   \
  -Dsonar.login=$SQ_TOKEN

软件测试学习笔记丨静态测试与代码审计 SonarQube_代码分析_06

3.5 maven 多模块项目代码分析

使用命令：

cd maven-multimodule
mvn clean verify \
  org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
  -Dsonar.host.url=$SQ_HOST   \
  -Dsonar.login=$SQ_TOKEN

3.6 sonarqube 多语言代码分析

使用命令：

cd maven-multilingual
mvn clean verify \
  org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
  -Dsonar.host.url=$SQ_HOST   \
  -Dsonar.login=$SQ_TOKEN

3.7 spring boot 项目代码分析

使用命令：

mvn clean compile \
  org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
  -Dsonar.host.url=$SQ_HOST   \
  -Dsonar.login=$SQ_TOKEN

3.8 电商项目代码分析

使用命令：

mvn clean verify \
  org.sonarsource.scanner.maven:sonar-maven-plugin:LATEST:sonar \
  -Dsonar.host.url=$SQ_HOST   \
  -Dsonar.login=$SQ_TOKEN

四， sonarqube gradle项目代码分析

4.1 插件与配置

# build.gradle文件
plugins {
  id "jacoco"
  id "java"
  id "application"
  id "org.sonarqube" version "3.3"  //version号需要替换成最新的版本号
}

sonarqube {
  properties {
    property "sonar.host.url", "https://sonarqube.hogwarts.ceshiren.com"
    property "sonar.login", "TOKEN"
    property "sonar.sourceEncoding", "UTF-8"
  }
}


# gradle.properties文件（优先配置上面的文件）
systemProp.sonar.host.url=http://localhost:9000

4.2 gradle代码分析命令

#多任务执行
./gradlew clean assemble sonarqube  -Dsonar.host.url=$SQ_HOST  -Dsonar.login=$SQ_TOKEN

#也可单独执行
gradle  sonarqube  -Dsonar.host.url=$SQ_HOST  -Dsonar.login=$SQ_TOKEN


#构建程序并执行测试
./gradlew clean build sonarqube  -Dsonar.host.url=$SQ_HOST  -Dsonar.login=$SQ_TOKEN


#结合覆盖率的代码分析
cd gradle-nultimodule-coverage  （进入该项目路径）

./gradlew clean build codeCoverageReport sonarqube  -Dsonar.host.url=$SQ_HOST  -Dsonar.login=$SQ_TOKEN