前端项目使用 sonarQube 代码扫描检测 2024

最新推荐文章于 2025-03-24 21:40:40 发布
最新推荐文章于 2025-03-24 21:40:40 发布
阅读量5.2k 收藏 38
点赞数 23
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43589827/article/details/135391479
版权
本文详细介绍了SonarQube在代码质量管理中的应用,包括其功能、如何使用SonarQubeScanner扫描前端代码(推荐Java11及以上版本),以及Java和前端项目的具体配置步骤。此外,还提到如何安装Java和SonarQube,并提到了SonarQubeScanner的版本要求和中文插件的安装方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

介绍

SonarQube是一个开源的代码质量管理平台,它用于持续检查代码质量,并提供实时反馈,以帮助开发团队改进其代码。它可以帮助开发人员发现代码中的潜在问题、漏洞和代码异味,从而提高代码的可维护性、可读性和安全性。
SonarQube可以进行静态代码分析,检查代码中的bug、漏洞、代码重复、代码规范违反等问题。它还提供了可视化的报告和仪表板,帮助团队了解代码质量的状况,并及时采取行动。
一些知名的公司和项目,如SonarSource、Alibaba、Google、Apache等,都使用SonarQube来提高其代码质量和安全性。SonarQube已成为许多软件开发团队中不可或缺的工具之一。

准备

本文主要介绍如何使用 SonarQube 扫描前端代码

  • Java 建议使用 11 及以上的版本
  • SonarQube 新版本不支持 Java 8,想要支持Java 8 就只能安装 SonarQube 7 及之前的版本
  • SonarQube Scanner 新版本不支持 Java 8,想要支持Java 8就只能安装 SonarQube Scanner4 及之前的版本。

它们与用户之间的关系是sonar扫描任务运行代码质量检测工具(例如Checkstyle, FindBugs,PMD 等)分析代码,将分析结果写入到与sonar服务器绑定的数据库,sonar服务器会通过不同语言的插件算法对代码分析结果进行再加工,最终将代码分析加工结果以可视化,可度量的方式展示给用户。
在这里插入图片描述

Java 安装

https://www.oracle.com/java/technologies/downloads/#java11,进入这个连接,选择自己的操作系统去安装 java 即可,安装成功后,需要配置环境变量等我就不多说了。这里我安装的是 java17 的版本。
在这里插入图片描述

SonarQube 安装

进入这个链接:https://www.sonarsource.com/products/sonarqube/downloads/,下载免费的社区版。
在这里插入图片描述
下载成功后,进入下图中所示的目录,找到图中的bat文件双击执行,自然会跳出指令窗口运行 SonarQube。
在这里插入图片描述
运行成功:
在这里插入图片描述
注意
在运行 SonarQube 有个很坑的点,就是不兼容老版本的 java,我一开始就是 java 8,发现不兼容,就想下载旧版本的 SonarQube,毕竟不想装一遍 java,但没想到这个 SonarQube 官网貌似不提供旧版本,只能安装 2024/1/4 最新的 10.3 版本,如果有人找到旧版本,麻烦给个链接留言,感谢。

SonarQube Scanner 安装

前端项目想要执行 SonarQube 的扫描,就需要用这个 SonarQube Scanner 工具。而 java 语言的扫描则不需要那么麻烦转这个东西,直接用 Maven 执行 SonarQube 扫描即可。
Java的扫描
在这里插入图片描述
JS其它语言的扫描,需要 SonarQube Scanner
在这里插入图片描述
所以需要进入这个链接 https://docs.sonarsource.com/sonarqube/latest/analyzing-source-code/scanners/sonarscanner/,点击 show more 后就变成下图所示,有很多版本供你选择下载
在这里插入图片描述
下载成功后,我们需要去配置下环境变量 SONAR_RUNNER_HOME
在这里插入图片描述
然后再添加下 path 变量
在这里插入图片描述
在指令窗口中执行如下命令检查是否安装成功

 sonar-scanner -v

在这里插入图片描述

使用

一切准备好后,我们就可以开始使用了。
1、首先进入 sonarQube 开启的系统创建项目,默认初始账号和密码就是 admin 和 admin。
在这里插入图片描述
点击这去创建项目
在这里插入图片描述
输入项目名和项目唯一标识
在这里插入图片描述
使用全局设置
在这里插入图片描述
回到首页就可以看到我们刚刚创建的 wh-components 项目了。
在这里插入图片描述
点击进入项目,我们本次就通过本地去分析扫描我们的代码
在这里插入图片描述
生成我们的token
在这里插入图片描述
生成 token 成功后,点击 continue 继续
在这里插入图片描述
选择我们扫描的语言和系统,然后就会出现对应的命令,把命令复制到项目的指令窗口执行即可。

sonar-scanner.bat -D"sonar.projectKey=wh-component" -D"sonar.sources=." -D"sonar.host.url=http://localhost:9000" -D"sonar.token=sqp_cc700aa66d2d941949970a3ed64ce47d218e066b"

在这里插入图片描述
执行命令
在这里插入图片描述
等待扫描完成后,回到我们的 sonarQube 系统查看扫描结果即可
在这里插入图片描述

补充

1、其实除了通过命令执行之外,还可以在项目中放 sonar-project.properties 文件
比如上面执行的指令

sonar-scanner.bat -D"sonar.projectKey=wh-component" -D"sonar.sources=." -D"sonar.host.url=http://localhost:9000" -D"sonar.token=sqp_cc700aa66d2d941949970a3ed64ce47d218e066b"

其实对应的就是

#sonarqube服务器地址,默认为9000
sonar.host.url=http://localhost:9000
#sonarqube用户名
sonar.login=admin
#sonarqube密码
sonar.password=passw0rd
sonar.token=sqp_cc700aa66d2d941949970a3ed64ce47d218e066b
#项目唯一标识(不能出现重复)
sonar.projectKey=wh-component
#项目名称
sonar.projectName=wh-component
#源代码目录
sonar.sources=.
# 用逗号分割来指定多个目录
# sonar.sources=src, tests
# 测试代码目录
# sonar.tests = dist
#语言
sonar.language=js
# sonar.language=javascript
#源代码文件编码
sonar.sourceEncoding=UTF-8

# 更多参数:https://docs.sonarqube.org/latest/analysis/analysis-parameters/

在这里插入图片描述
有了这个文件之后,只需执行 sonar-scanner 指令即可,不需要后面加长长的一大堆内容。
2、都是英文看不懂?
sonarQube 支持插件,我们可以通过装中文插件来实现中文版的 sonarQube
进入官方的插件列表 :https://docs.sonarsource.com/sonarqube/latest/instance-administration/plugin-version-matrix/
找到这个 Chinese Pack
在这里插入图片描述
跳转到对应插件的 GitHub 后,点击 releases 查看所有版本
在这里插入图片描述
找到自己 sonarQube 对应的插件版本下载,我的是 10 就下载 10 的了
在这里插入图片描述
将下载好的插件放入如下目录中
在这里插入图片描述
重启我们的sonarQube即可。
在这里插入图片描述
这样就变成中文的啦!

参考文章

Win系统手把手教你用SonarQube+Jenkins搭建–前端项目–代码质量管理平台

前段工程化之 sonarqube 的简单使用
weixin_38218372的博客
07-23 209
Linux安装jdk 去官网下载 去官网 下载 Linux 版本的JDK 上传 jdk-8u144-linux-x64.tar.gz 压缩包到目录下执行解压命名 tar -zxvf jdk-8u144-linux-x64.tar.gz 修改包名 mv jdk-8u144-linux-x64 jdk1.8 查看安装目录 pwd /usr/local/src/jdk 添加环境变量 vi /etc/profile 设置环境变量 export PATH USER LOGNAME MAIL HOSTNAME
Jenkins基础:使用NPM构建前端应用7:使用SonarQube检查前端代码质量
知行合一 止于至善
10-21 2778
在前面的文章中我们介绍了如何通过使用Jenkins的NodeJS插件进行前端应用的构建和测试,在这篇文章中将继续介绍如何继续集成SonarQube来实现前端应用的代码质量状况的显示。
SonarQube 和 Sonar scanner 进行前端代码质量扫描
vanora1111的博客
08-26 1901
此次示范扫描的是本地代码,仅供参考希望能帮助到你~
Jenkins 集成 SonarQube 代码静态检查使用说明
最新发布
demonlg0112的博客
03-24 1200
通过以上步骤,可实现 Jenkins 与 SonarQube 的自动化代码质量检查,支持多种语言静态分析。
SonarQube配置前端工程代码检测
热门推荐
爱码少年 00fly.online 的博客
03-29 1万+
sonarqube:7.8-community 是 sonar 对 jdk1.8 的最后一个版本,从 7.9 以后 sonar 最低支持版本为 jdk 1.11,为了兼顾java项目,我们这边安装此版本。 首先,编写docker-compose.yml文件 version: '3.8' services: sonarqube: image: sonarqube:7.8-community container_name: sonarqube deploy: resources:
SonarQube扫描前端代码
minalz的博客
07-05 1589
SonarQube扫描前端代码 1.安装插件 2.在项目根路径下创建sonar-project.properties # must be unique in a given SonarQube instance sonar.projectKey=front-pc-scanner # this is the name and version displayed in the SonarQube UI. Was mandatory prior to SonarQube 6.1. sonar.projectNa
SonarQube前端扫描
Miao_929的博客
01-04 1072
C:\Users\F1336499.TSBG\Desktop\郑州供应链项目测试报告\dpmc-frontend(1)\dpmc-frontend>sonar-scanner.bat -D"sonar.projectKey=testvue0104" -D"sonar.sources=." -D"sonar.host.url=http://localhost:9000" -D"sonar.login=075e8c5de01805b11fa9b1e957abcfb8e58ffdbc"
前端项目如何使用sonar qube进行代码质量检查
小飞侠的博客
05-14 5608
在做Java项目的时候,我们经常会使用 Sonar Qube来进行代码质量检查工作。查看了一下其文档,sonar qube不仅可以做Java的检查,还支持其他语言,比如js, ts等等。 本文简单记录如何配置sonar服务,如何使用其进行前端项目代码质量检查工作。 有eslint, tslint等工具,还要sonar干嘛 首先需要说的是,这两者不是一个层级的东西,eslint, tslint是js代码,ts代码的风格检查工具,其定义一些代码编写风格,主要通过这些风格规范个人的代码。 而sona..
SonarQube代码审查
生夏夏的博客
08-12 398
Sonarqube是一款使用较为广泛的代码审查工具,支持20+ 种编程语言,经过代码审查后把出现在代码里的问题都暴露出来并进行分类,开发人员根据严重程度解决排期,将问题数量降低,这样就可以创建并维护一个干净的代码基础。
代码审计平台sonarqube的安装及使用
好多可乐的博客
05-07 1307
代码】docker搭建代码审计平台sonarqube
sonar检测前端代码
zhaixing
10-31 4400
sonar检测前端代码 使用sonarqube检测前端js代码 1.使用sonarqube检测js 在jenkins中创建一个令牌,选择想要检测的语言,本文检测js,选择其他,选择Linux,定义一个任务标识,记录下右边的代码,如图所示: 在项目根目录下,执行我们刚刚复制的代码,进行一点小修改,本文所使用代码主要在src目录下,就只检测src目录,代码如下所示: [root@localhost...
使用Sonarqube扫描Javascript代码的示例
10-17
今天小编就为大家分享一篇关于使用Sonarqube扫描Javascript代码的示例,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
SonarQube】集成.Net Core项目单元测试和代码覆盖率
KEEP MOVING.
06-16 1475
目录一、对应关系二、集成测试结果1. 配置SonarQube项目2. 脚本设置三、报表展示四、遇到的坑 一、对应关系 几乎把中文所有C#和SonarQube集成的资料看遍了,发现要么是别人用的测试框架和覆盖率框架不一样,要么就是解释的不够透彻,有些设置让人摸不着头脑,我觉得如果能把一件简单的事情说清楚也是很了不起的事情,这需要建立在自己有良好的阅读能力和理解能力的基础上,如果别人照着步骤都不能复现,又能指望日常沟通好到那里去是吧????‍???? 我的项目单元测试和代码覆盖率用的是Visual Studio
sonarqube扫描代码注释率
02-14
### 使用SonarQube扫描项目检测代码的注释覆盖率 #### 配置环境 为了确保SonarQube能够正常工作并准确报告注释覆盖率,需确认安装了适当版本的Java Development Kit (JDK)[^1]。对于SonarQube 9.8及以上版本,...
代码质量检测-SonarQube
weixin_40559666的博客
11-30 1万+
SonarQube快速上手使用集成gitlab流水线控制
SonarQube扫描代码
长安 故里
04-03 301
sonarqube安装包网址:https://www.sonarqube.org/downloads/sonar-scanner-cli(linux)安装包网址:https://binaries.sonarsource.com/Distribution/sonar-scanner-cli/sonar-scanner-cli-4.6.2.2472-linux.zip。
sonarqube代码检测使用配置
ailiting的博客
06-21 2443
代码检测工具的配置
SonarQube使用教程
a7412605567的博客
04-17 1395
SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,本文将会介绍一下这个工具的安装、配置以及使用。 一、SonarQube的安装使用: 下载地址:http://www.sonarqube.org/downloads/ 本文下载的版本是sonarqube-6.7.6。 下载完之后,选择进入具体的版本,本文作者的环境是:D:\sonarqube...
前端静态代码扫描分析( SonarLint SonarQube
https://shixuebin.gitee.io/hexo-blog/
02-02 2110
静态代码分析是在源代码上执行的一系列自动检查​ 静态分析工具扫描代码,查找常见的已知错误和漏洞,例如内存泄漏或缓冲区溢出。这一分析还可以强制执行编码标准。静态分析只能识别违反预编程规则的实例,不能仅通过阅读源代码找出所有缺陷。也存在误报的风险,因此需要对结果进行解释。​ 从这个意义上说,静态代码分析是代码审查的有价值补充,因为它突出了已知的问题,并为对整体设计和方法的审查等更有趣的任务腾出了时间。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值