sonarQube对代码进行静态扫描

最新推荐文章于 2024-04-22 17:16:55 发布
最新推荐文章于 2024-04-22 17:16:55 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Java SpringBoot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45316034/article/details/107351077
版权

sonarQube是一个代码质量和安全性检测工具,社区版免费,可以帮助开发人员在开发阶段就避免各种质量和安全的问题。

1、安装

官网地址:https://www.sonarqube.org/
可以直接下载运行,bin目录下有各个系统的运行脚本,包括linux、mac、windows,不过运行的时候需要确认本地的JDK版本,7.7以上都需要JDK11。或者使用跑在k8s上面,yaml如下:

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: r3-sonar-qube
  name: r3-sonar-qube
  namespace: common
spec:
  progressDeadlineSeconds: 600
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      app: r3-sonar-qube
  strategy:
    rollingUpdate:
      maxSurge: 25%
      maxUnavailable: 25%
    type: RollingUpdate
  template:
    metadata:
      labels:
        app: r3-sonar-qube
    spec:
      containers:
        - env:
            - name: LANG
              value: en_US.UTF-8
            - name: LANGUAGE
              value: 'en_US:en'
            - name: LC_ALL
              value: en_US.UTF-8
            - name: JAVA_HOME
              value: /opt/java/openjdk
            - name: SONARQUBE_HOME
              value: /opt/sonarqube
            - name: SQ_DATA_DIR
              value: /opt/sonarqube/data
            - name: SQ_EXTENSIONS_DIR
              value: /opt/sonarqube/extensions
            - name: SQ_LOGS_DIR
              value: /opt/sonarqube/logs
            - name: SQ_TEMP_DIR
              value: /opt/sonarqube/temp
            - name: SONARQUBE_JDBC_URL
              value: >-
                jdbc:mysql://rm-uf61ldmcjuyy58370to.mysql.rds.aliyuncs.com:3306/sonar?useSSL=false&useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance
            - name: SONARQUBE_JDBC_USERNAME
              value: sonar
            - name: SONARQUBE_JDBC_PASSWORD
              value: Burgeon123
          image: 'sonarqube:7.8-community'
          imagePullPolicy: Always
          name: r3-sonar-qube
          ports:
            - containerPort: 9000
              protocol: TCP
          resources:
            requests:
              cpu: 250m
              memory: 512Mi
          terminationMessagePath: /dev/termination-log
          terminationMessagePolicy: File
      dnsPolicy: ClusterFirst
      restartPolicy: Always
      schedulerName: default-scheduler
      securityContext: {}
      terminationGracePeriodSeconds: 30
status:
  availableReplicas: 1
  conditions:
    - lastTransitionTime: '2020-06-15T08:58:44Z'
      lastUpdateTime: '2020-06-28T13:18:37Z'
      message: ReplicaSet "r3-sonar-qube-5c6c764c" has successfully progressed.
      reason: NewReplicaSetAvailable
      status: 'True'
      type: Progressing
    - lastTransitionTime: '2020-07-03T17:28:19Z'
      lastUpdateTime: '2020-07-03T17:28:19Z'
      message: Deployment has minimum availability.
      reason: MinimumReplicasAvailable
      status: 'True'
      type: Available
  observedGeneration: 9
  readyReplicas: 1
  replicas: 1
  updatedReplicas: 1

这里建了一个数据库给sonar用,如果不建库的话默认会使用内置的数据库;
在这里插入图片描述

2、本地扫描修复

如果是IDEA的话则可以下载sonarlint插件,ctrl+shift+s,就可以进行本代码扫描,扫描规则可以在本地IDEA进行配置;
在这里插入图片描述
但是该插件并不会同步扫描结果到sonarQube,即使本地配置了sonarQube的地址及相关信息,不确定是缺陷还是本身就不支持。
如果需要将本地的修复结果同步,则可以使用maven打包的方式同步,修改setting.xml
1.增加插件节点

<pluginGroup>org.sonarsource.scanner.maven</pluginGroup>

2.增加profile节点

<profile>
        <id>sonar</id>
            <activation>
                <activeByDefault>true</activeByDefault>
            </activation>
            <properties>
                <sonar.host.url>
                  http://47.100.190.150:9000
                </sonar.host.url>
    		</properties>
</profile>

3.在maven工程的项目pom添加插件引用

 <build>
        <plugins>
            <plugin>
                <groupId>org.sonarsource.scanner.maven</groupId>
                <artifactId>sonar-maven-plugin</artifactId>
                <version>3.6.0.1398</version>
            </plugin>
        </plugins>
</build>

4.reimport后则会出现sonar的打包按钮
在这里插入图片描述
点击后开始扫描分析上传,如果sonarQube上没有该项目,则会自动创建一个新的;
sonar的扫描分析等级由高到低:Blocker>Critical>Major>Minor>Info

3、Jenkins发布自动扫描

Jenkins结合sonar比较简单
maven打包的时候加上soanr的server地址就行

mvn clean package install sonar:sonar -Dsonar.host.url=http://47.100.190.150:9000
sunies-
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot使用sonarqube来检查技术债务
08-26
今天小编就为大家分享一篇关于spring boot使用sonarqube来检查技术债务,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
代码质量管理SonarQube实现Objective C静态代码扫描环境搭建总结
01-21
代码质量管理SonarQube实现Objective C静态代码扫描环境搭建总结
利用SonarQube实现代码静态扫描
天行健,君子以自强不息;地势坤,君子以厚德载物。
10-04 942
阅读文本大概需要3分钟。 SonarQube(Sonar)是一个用于管理代码质量的开源平台。SonarQube目前已支持超过20种主流编程语言,它管理的代码质量主要涉及7...
如何使用Sonar进行静态扫描(Windows系统)
最新发布
qq_40631968的博客
04-22 849
与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。1、在sonar 服务已经搭建,Jenkins所在主机可以正常访问的情况下,进到jenkins安装插件的界面,搜索“SonarQube Scanner”,安装好后重启Jenkins服务。
sonarqube for jenkins token_DevOPS | 代码静态扫描工具SonarQube的安装和初步使用
weixin_39804641的博客
11-26 134
DevOPS工具链中,在代码静态扫描这一环,SonarQube的使用算的是比较多的了,功能也比较强大。这篇文章,我们先介绍下基于docker的最新版7.9.1的安装、配置和使用。注意,从7.9版本开始,SonarQube只支持Oracle、SQLServer和PostgreSQL,MySQL不在支持,所以如果大家已经安装了旧版本,需要迁移数据库,迁移的方法,大家可以参见:https://githu...
代码扫描工具SonarQube+Scanner的基本安装与应用
weixin_30294295的博客
06-10 165
由于公司最近有扫描代码的需求,同事推荐选择了SonarQube进行,环境以部署在本地为例(win10 64位),后续在测试服务器上也部署了一套,此篇作为一个总结。 1.安装SonarQube   注:安装SonarQube之前要先配置java且版本在1.8以上,可以在cmd里面检查java是否安装成功以及版本      a.http://www.sonarqube.org/down...
jenkins-sonar 静态扫描阶段 连接svn 报错
lxlmycsdnfree的博客
05-28 1821
报错日志:D:\Android\sonar-scanner-2.9.0.670\bin\.. INFO: Scanner configuration file: D:\Android\sonar-scanner-2.9.0.670\bin\..\conf\sonar-scanner.properties INFO: Project root configuration file: NONE INF...
SonarQube iOS插件,支持Objective-C和Swift,支持推断(SonarQube iOS代码扫描插件,支持Objective-C和Swift,支持推断结果导入),基于https:github.comIdeansonar-swift
02-04
静态代码扫描是一种检测项目代码的方式,能够在不运行代码的情况下对代码进行扫描,可以扫描代码的Bug(例如空指针),破坏,坏味道(例如方法内部代码行数量过多)等,另外可以检测仓库的代码重复率,注释率,...
SonarQube 9.9.3 社区版
01-07
静态代码扫描工具SonarQube 9.9.3 社区版。
sonarqube 文档
10-09
Sonar Code Quality Testing Essentials,sonarqube静态代码扫描工具培训说明文档
sonaqube-8.0.zip
12-20
SonarQube是管理代码质量一个开平台,可以快速的定位代码中潜在的或者明显的错误。可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测。
C++源代码单词扫描程序(词法分析)
11-11
功能: (1)C++源代码扫描程序识别C++记号。 C++语言包含了几种类型的记号:标识符,关键字,数(包括整数、浮点数),字符串、注释、特殊符号(分界符)和运算符号等。 (2)打开一个C++源文件,打印出所有以上的记号。 (3)要求应用程序应为Windows界面。 (4)选作部分:为了提高C++源程序的可读性,C++程序在书写过程中加入了空行、空格、缩进、注释等。假设你想牺牲可读性,以节省磁盘空间,那么你可以存贮一个删除了所有不必要空格和注释的C++源程序的压缩文本。因此,程序中还应该有这样的压缩功能。 (5)选作部分:进一步思考或实现——如何进一步实现减小源文件大小的压缩功能。 (6)应该书写完善的软件文档,最好使用Rational Rose来完成部分框图。
基于sonar 的C#静态代码扫描使用总结
lw的博客
09-04 1319
C#语言接入Sonar代码静态扫描相较于Java、Python来说,相对麻烦一些。Sonar检测C#代码时需要预先编译,而且C#代码必须用MSbuid进行编译,如果需要使用SonarQube对C#进行代码质量分析,则需要Sonar-Scanner-MSBuild和MSBuild,其中要求MSBuild在V14.0以上。
SonarQube白盒静态代码专家解决方案
zhaohhtt的专栏
02-13 759
SonarQube Sonar Fortify Coverity LoadRunner 白盒静态代码测试 应用安全测试工具
代码质量检测-SonarQube
weixin_40559666的博客
11-30 1万+
SonarQube快速上手使用集成gitlab流水线控制
SonarQube安装指导
awen8307的专栏
08-31 1万+
Sonarqube的安装部署指导,以及使用scanner进行代码扫描方法说明
SonarQube介绍
热门推荐
zzhongcy的专栏
10-26 3万+
SonarQube 是一个开源的代码分析平台, 用来持续分析和评测项目源代码的质量。 通过SonarQube我们可以检测出项目中重复代码, 潜在bug, 代码规范,安全性漏洞等问题, 并通过SonarQube web UI展示出来。 1 Sonar简介 1.1 sonarQube是什么? 1、代码质量和安全扫描和分析平台。 2、多维度分析代码代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。 3、支持25+编程语言的代码扫描和分析,包含java\python\C#\jav.
SonarQubeSonarQube 指标解读
书山有路,学海无涯。记录成长,追逐梦想
11-28 2835
SonarQube 是一种自动代码审查工具,可以检测出重复代码代码漏洞、代码规范和安全性漏洞的问题。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。Sonar Qube 可以与多种软件整合进行代码扫描,比如 Maven,Gradle,Git,Jenkins 等,并且代码检测结果推送回 SonarQube,并且在系统提供的 UI 界面上显示出来。
SonarQube简介
justlpf的专栏
03-16 340
参考文章:SonarQube简介_DingK123的博客-CSDN博客_sonarqube SonarQube简介 1.sonar简介 sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告; sonar通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级; 同时,sonar可以集成pmd..
sonarqube代码扫描
05-13
SonarQube是一款开源的代码质量管理平台,可以用来进行代码扫描静态代码分析。它可以帮助开发人员自动化地检测代码质量问题,并提供有关如何解决这些问题的建议。 使用SonarQube进行代码扫描主要分为以下几个步骤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值