一、简介
SonarQube是一个开源的代码质量分析平台,便于管理代码的质量,可检查出项目代码的漏洞和潜在的逻辑问题。同时,它提供了丰富的插件,支持多种语言的检测, 如 Java、Python、Groovy、C#、C、C++等几十种编程语言的检测。
核心价值观:
检查代码是否遵循编程标准:如命名规范,编写的规范等。
检查设计存在的潜在缺陷:SonarQube通过插件Findbugs、Checkstyle等工具检测代码存在的缺陷。
检测代码的重复代码量:SonarQube可以展示项目中存在大量复制粘贴的代码。
检测代码中注释的程度:源码注释过多或者太少都不好,影响程序的可读可理解性。
检测代码中包、类之间的关系:分析类之间的关系是否合理,复杂度情况。
SonarQube主要由4个组件组成:
一个SonarQube服务器启动3个主要流程:
Web服务器,供开发人员,管理人员浏览高质量快照并配置SonarQube实例
基于Elasticsearch的Search Server从UI返回搜索
计算引擎服务器负责处理代码分析报告并将其保存在SonarQube数据库中
一个SonarQube数据库存储:
SonarQube实例的配置(安全性,插件设置等)
项目,视图等的质量快照
服务器上安装了多个SonarQube插件,可能包括语言,SCM,集成,身份验证和治理插件
在构建/持续集成服务器上运行一个或多个SonarScanner来分析项目
SonarQube工作流程:
二、安装步骤
好了,讲了一堆概念开始进入正题了。
1.安装jenkins
没有安装jenkins的可以参考之前的文章。Linux -- 集成Jenkins
2.安装SonarQube
本文为了方便测试使用Docker安装SonarQube。
运行SonarQube:
docker run -d --name sonarqube -p 9000:9000 sonarqube
启动后默认登录账号为admin/admin。
默认情况下,镜像将使用不适合生产的嵌入式H2数据库。如需要设置数据库请参考如下设置。
生产数据库被配置成与作为环境变量以下SonarQube属性:sonar.jdbc.username,sonar.jdbc.password和sonar.jdbc.url。
$ docker run -d --name sonarqube \
-p 9000:9000 \
-e sonar.jdbc.username=sonar \
-e sonar.jdbc.password=sonar \
-e sonar.jdbc.url=jdbc:postgresql://localhost/sonar \
sonarqube
3.启动SonarQube:
安装chiese Pack中文插件,安装完记得点击页面上的Restart重启SonarQube。
然后重要的事情来了,就是配置质量阀。像我们只想针对新提交的代码进行审计,故定制如下质量阀指标:
好了,到此基本配置完了。下面开始集成Jenkins
4.集成Jenkins
因为我们是用Jenkins做为后台的持续扫描调度服务,所以需要安装SonarQube Scanner For Jenkins插件,也就不需要安装其他的扫描器了。
在Jenkins系统设置->配置SonarQube服务器连接详细信息。
构建项目:
打开构建结果的链接来查看SonarQube具体的分析报告。
5.质量阀状态关联构建结果
我们需要在代码分析无法满足SonarQube的质量标准时,就项目构建失败。Jenkins是支持这样的,需要安装插件Sonar Quality Gates Plugin
同时在系统设置->配置Quality Gates - Sonarqube。
然后,在项目工程中需要增加“构建后操作“。
三、参考资料