Devops——Sonarqube+github构建

已于 2022-06-19 17:33:15 修改
阅读量2.1k 收藏 5
点赞数
分类专栏: DevOps 文章标签: devops
于 2021-12-30 20:21:54 首次发布
未经同意窃取和转载我的内容,如果涉及到权益问题,后果自负!
本文链接:https://blog.csdn.net/weixin_41605937/article/details/122244691
版权

摘要

在CICD的流程中对于的代码检查是必要的,在工程中Sonarqube是必不可少的工作,在构建CICD的系统架构中Sonarqube能帮助我们实现相关的代码检查工作。接下来我介绍的Sonarqube的构建个使用,同时与github jeknins等工具一起构建CICD系统。

一、Sonarqube的简介

sonarQube 是一款开源代码检测工具。本篇介绍通过 docker 来安装。大概的一个运作流程是这样的,先通过 sonar-scanner 插件扫描代码,把数据存储到数据库,sonarQube 读取数据库,将数据库展现在 web 平台。

二、Sonarqube在doceker构建

# 拉取两个Docker镜像

docker pull sonarqube

docker pull postgres

# 运行数据库容器

docker run --name postgresql -e POSTGRES_USER=sonar -e POSTGRES_PASSWORD=sonar -d postgres

# 运行sonarqube

docker run --name sonarqube --link postgresql -e SONARQUBE_JDBC_URL=jdbc:postgresql://postgresql:5432/sonar -p 9000:9000 -d sonarqube

三、Sonarqube扫描代码配置

四、SonarQube+Github配置

SonarQube是一个自动代码审查工具,用于检测代码中的错误、漏洞和不规范的编码风格。本文实现利用GithubAction实现在代码提交时自动使用SonarQube审查代码。

4.1 创建并安装Github APP

4.1.1 进去github设置页面

4.1.2 点击Developer settings 

4.1.3 点击New Github App按钮创建Github App

4.1.4 填写信息并设置权限

4.1.5 创建成功并生成客户端密钥 

4.1.6 生成私钥并导入

4.2 配置SonarQube

4.2.1  在SonarQube中配置的ALM集成,配置Github

4.2.2 根据刚才创建Github APP生成的信息创建Github配置

4.2.3 创建SonarQube token

4.3.4 使用手工模式创建

4.3.5 填写项目标识和项目名

4.3.6 记录生成的token, 之后要用

4.4 编写Github Action

4.4.1 创建Github Action以便在提交代码时自动分析并将分析结果传到SonarQube

4.4.2 在.github/workflows/目录下创建build.yml文件

name: Build
on:
  push:
    branches:
      - main
  pull_request:
    types: [opened, synchronize, reopened]
jobs:
  build:
    name: Build
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
        with:
          fetch-depth: 0  # Shallow clones should be disabled for a better relevancy of analysis
      - name: Set up JDK 11   
        uses: actions/setup-java@v1
        with:
          java-version: 11      # 项目使用的jdk版本
      - name: Cache SonarQube packages
        uses: actions/cache@v1
        with:
          path: ~/.sonar/cache
          key: ${{ runner.os }}-sonar
          restore-keys: ${{ runner.os }}-sonar
      - name: Cache Maven packages
        uses: actions/cache@v1
        with:
          path: ~/.m2
          key: ${{ runner.os }}-m2-${{ hashFiles('**/pom.xml') }}
          restore-keys: ${{ runner.os }}-m2
      - name: Build and analyze
        env:
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}  # Needed to get PR information, if any
          SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}
          SONAR_HOST_URL: ${{ secrets.SONAR_HOST_URL }}
        run: mvn -B verify org.sonarsource.scanner.maven:sonar-maven-plugin:sonar

4.4.3 此项目使用Maven构建

创建项目变量,这个环境变量会在上图中配置的Action中用到

创建变量SONAR_TOKEN,值为上面在SonarQube生成的token

创建变量SONAR_HOST_URL,值为上面在SonarQube的地址

4.4.4 提交代码触发Action

进入SonarQube的项目页面,可以看到该项目已经出现

博文参考

SonarQube篇-安装配置sonarqube+gitlab+jenkins+ldap集群_鬼刺-CSDN博客_sonarqube配置gitlab

SonarQube——如何搭建SonarQube完整版 - 。思索 - 博客园

docker 安装 sonarQube - 三只松鼠 - 博客园

庄小焱
关注
专栏目录
Jenkins集成SonarQubeGitHub 实现代码质量管理
平凡的世界
11-24 702
# 简 介 在我们日常开发中,代码的质量往往很重要,SonarQube 是一个非常实用的代码质量检测管理工具,那如果实现自动化构建尼,在这里我们使用常用的jenkins来实现此功能; # 安 装 jenkins 怎么去安装 jenkins 不是本次的重点,可以去查看我写的安装文档 安装jenkins # 安装 SonarQube 怎么去安装 SonarQube 不是本次的重点,可以去查看我写的安装文档 安装SonarQube # 各个版本说明 JDK 1.8 Jenkins 2.249.3 SonarQu
DevOps(Development + Operations)是一种崇尚整合开发和运营的方式,目的是实现快速交付价值的同时保持生产环境稳定运行
AI天才研究院
07-28 1098
DevOps(Development + Operations)是一种崇尚整合开发和运营的方式,目的是实现快速交付价值的同时保持生产环境稳定运行。DevOps通过应用持续集成、持续交付、持续部署等方法,可降低软件发布风险,提高软件交付速度,并有助于更快地发现和解决软件中的错误。持续集成(CI)是指频繁将代码合并到主干中,频繁测试,尽早发现软件中的错误,提高软件质量。持续交付(CD)则是指频繁将最新版本的代码部署到生产环境中,验证软件是否符合要求,降低出现问题时的影响。
sonarqube-action:将SonarQube扫描仪集成GitHub Actions
01-29
sonarqube-action:将SonarQube扫描仪集成GitHub Actions
2024新版SonarQube+JenKins+Github联动代码扫描(3)-三者联动配置最终章
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-05 1015
终于来到最后了。前面的两篇文章都是配置项,务必能成功启动和运行,才可以进行第三步的联动配置。SonarQube+JenKins+Github三者之间的自动化构建和代码扫描,听起来确实是非常高效率的,但是网上文章都是老版本,很多都是2018左右的版本,照着他们的步骤来,在2024年的今天,新版是完全不一样了,所以我当初配置的时候,也是花了2天的时间,最后总结成3篇文章,供大家参考。
2024新版SonarQube+JenKins+Github联动代码扫描(2)-SonarQube代码扫描
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-05 1156
这是2024新版SonarQube+JenKins+Github联动代码扫描专题的第二部分,也是核心内容,SonarQube目前是半开源,可以自定义漏洞扫描规则,这个后面有时间可以出一篇教程,本文主要是讲2024最新版的配置和如何进行代码扫描。提示:以下是本篇文章正文内容,下面案例可供参考JenKins安装与配置是SonarQube+JenKins+Github联动代码扫描的第二步。2024新版SonarQube+JenKins+Github联动代码扫描(1)-JenKins安装与配置。
sonarqube创建项目(project)
superbfly的专栏
01-13 7319
上篇文章说了如何安装sonarqube-8.1.0,参见:Centos7安装sonarqube-8.1.0 这篇讲讲怎么创建一个项目(project) 首先在服务端启动sonarqube,按照我上篇文章给出的命令启动就可以了。 1.在客户端的浏览器里输入“服务端ip:9000”,我这里服务端ip是"192.168.122.192",浏览器就输入"http://192.168.122.192:...
DevOps】Jenkins2.328+sonarqube7.9 实现代码自动化检测
CN_Eden
07-10 508
Jenkins上显示: sonarqube上显示: jenkins和sonarqube的部署这里就不介绍了想要了解的可以看下这篇博客 https://blog.csdn.net/zhanremo3062/article/details/118420279安装插件:SonarQube Scanner for Jenkins 登录到sonarqube,点击【我的账号】 创建了一个的令牌 先创建一个jenkins登录sonarqube的凭据 点击【系统管理】-【Manage Credentials】-【添加
java餐饮管理系统源码-SaurabhAhuja-Dev.github.io:SaurabhAhuja-Dev.github.io
06-05
工具——Bitbucket、Jenkins、Teamcity、Terraform、Ansible、Sonarqube、Docker、Kubernetes、Gradle、Artifactory、Fortify、New Relic、Splunk、Maven、ANT、Redhat Open shift、Subversion。 Web/应用服务器 - ...
开源企业级数字化服务平台——Choerodon猪齿鱼发布0.8版本
Choerodon的博客
07-24 633
Choerodon猪齿鱼是一个开源企业服务平台,是基于Kubernetes的容器编排和管理能力,整合DevOps工具链、微服务和移动应用框架,来帮助企业实现敏捷化的应用交付和自动化的运营管理的开源平台,同时提供IoT、支付、数据、智能洞察、企业应用市场等业务组件,致力帮助企业聚焦于业务,加速数字化转型。 2018年7月20日,Choerodon猪齿鱼发布0.8.0版本,为了使您的应用交付更加...
gulimall.zip
11-05
构建与优化持续集成系统——以Gulimall项目为例》 在当今的软件开发环境中,持续集成(Continuous Integration,CI)系统已经成为高效、高质量软件生产的重要工具。本篇文章将聚焦于Gulimall项目,一个典型的电子...
sonar webAPI脚本实现创建用户、项目权限分配
06-21
该资源提供了sonar webAPI的方式创建用户、删除用户、项目权限赋值等相关脚本实现方式
创建Sonarqube项目
最佳 Java 编程
05-20 924
Sonarqube (nee Sonar)是炸弹。 不必每天检查一次,但是如果您对质量很认真,则可以在Sprint计划期间(如果不是每周一次)对其进行检查。 在nemo.sonarqube.com上查看示例项目,例如OpenJPA ,以了解可用的信息。 您可能首先需要专注于特定组件,例如OpenJPA JDBC 。 作为开发人员,我对“问题”(主要是FindBugs和Squid)和“...
Jenkins 使用sonarqube构建流水线代码审查项目
cristianoxm的博客
07-23 1972
在jenkins中我们可以借助snarqubescanner插件工具来扫描代码,但是额外sonarqubeserver需要再安装,这里我选择。Sonarqube是一个开源的代码质量检测工具,可以单独使用,也可以作为一个检测步骤放在Jenkins的pipelineCI/CD流水线。,用户可以在这个sonarqubeserver的网页界面查看报告。......
(十三)devops持续集成开发——jenkins流水线发布一个sonar qube质量检查项目
厉害哥哥的博客
01-31 778
在前面的内容中我们已经介绍过如何在jenkins中集成质量检查工具sonar qube,以及sonar qube服务的安装。本节内容我们通过使用jenkins构建一个包含sonar qube质量检查的流水线项目,从而实现项目部署发布上线前的代码质量检查。从而保证系统的稳定性。
sonarqube搭建使用
傲视九合的博客
01-04 331
一、安装sonarqube, 在某目录下 2、安装sonar-scanner(sonar-runner)   3、修改sonarqube配置文件 4、修改sonar-scanner配置文件   5、创建MYsql CREATE DATABASEsonar CHARACTER SET utf8 COLLATE utf8_general_ci;  CR
2024新版SonarQube+JenKins+Github联动代码扫描(3)-三者联动配置最终章_怎么使用sonarqube扫描github上的项目
最新发布
2401_84254530的博客
04-28 1000
终于来到最后了。前面的两篇文章都是配置项,务必能成功启动和运行,才可以进行第三步的联动配置。SonarQube+JenKins+Github三者之间的自动化构建和代码扫描,听起来确实是非常高效率的,但是网上文章都是老版本,很多都是2018左右的版本,照着他们的步骤来,在2024年的今天,新版是完全不一样了,所以我当初配置的时候,也是花了2天的时间,最后总结成3篇文章,供大家参考。2024新版SonarQube+JenKins+Github联动代码扫描(1)-JenKins安装与配置。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 1027
任务环境说明:服务器场景:Server1。
2024新版SonarQube+JenKins+Github联动代码扫描(1)-JenKins安装与配置
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-05 1113
Sonar是一个半开源的静态代码扫描工具,试用过一次觉得功能还算可以,所以记录一下SonarQube扫描的用法以及在中大型企业进行SDL安全审计的时候,如果用SonarQube+JenKins+Github三者联动进行代码扫描,快速,方便,自动化!如果大家只关心Sonar的静态扫描,可以看本系列的第二部分,也就是2024新版SonarQube+JenKins+Github联动代码扫描(2)-SonarQube安装与配置,可以在我的博客主页进行搜索。
sonarqube
github_28583061的博客
05-04 259
sonar 代码检查质量控制工具 Severity Blocker 可能引起应用不稳定,如:gc,资源没有释放 Critical 可能引起意外行为,降低应用健状性.如:nullpoint,错误的exception捕捉。 Major 影响生产力,如:复杂的方法,循环依赖 Minor 有可能影响生产力,如:命名规则, Info 还没有定义为影响生产力 功能 分析代码...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

庄小焱

我将坚持分享更多知识

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值