SonarQube介绍

SonarQube 是一个开源的代码分析平台, 用来持续分析和评测项目源代码的质量。 通过SonarQube我们可以检测出项目中重复代码， 潜在bug， 代码规范，安全性漏洞等问题， 并通过SonarQube web UI展示出来。 

1 Sonar简介

1.1 sonarQube是什么？

1、代码质量和安全扫描和分析平台。

2、多维度分析代码：代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。

3、支持25+编程语言的代码扫描和分析，包含java\python\C#\javascript\go\C++等。

4、涵盖了编程语言的静态扫描规则： 代码编写规范+安全规范。

5、能够与代码编辑器、CI/CD平台完美集成。

6、能够与SCM集成，可以直接在平台上看到代码问题是由哪位开发人员提交。

7、帮助程序猿写出更干净、更安全的代码。

 

静态扫描主要针对开发人员编写的源代码。

通过定义好的 代码质量和安全规则，对开发人员编写的代码进行扫描和分析。

将分析的结果多维护的呈现出来，以方便开发人员进行代码的优化和规范编写。

1.2 sonarQube如何工作？

sonar静态代码扫描由2部分组成：sonarQube平台，sonar-scanner扫描器。

sonarQube: web界面管理平台。

​ 1）展示所有的项目代码的质量数据。

​ 2）配置质量规则、管理项目、配置通知、配置SCM等。

sonarScanner: 代码扫描工具。

​ 专门用来扫描和分析项目代码。支持20+语言。

​ 代码扫描和分析完成之后，会将扫描结果存储到数据库当中，在sonarQube平台可以看到扫描数据。

sonarQube和sonarScanner之间的关系：

2 检测

Sonar是一个用于代码质量管理的开源平台，用于管理源代码的质量，可以从七个维度检测代码质量
通过插件形式，可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测

2.1 Rules提示

当然，这对于初学开发者来说是一个很好的教程，搞懂这些规则可以避免bugs的出现，提供自己的开发能力。

2.1.1 Rule界面

 

2.1.2 rule正确实例提示

 

2.2 糟糕的复杂度分布

  文件、类、方法等，如果复杂度过高将难以改变，这会使得开发人员难以理解它们， 且如果没有自动化的单元测试，对于程序中的任何组件的改变都将可能导致需要全面的回归测试

2.3 重复

  显然程序中包含大量复制粘贴的代码是质量低下的 ， sonar可以展示源码中重复严重的地方

2.4 缺乏单元测试

sonar可以很方便地统计并展示单元测试覆盖率

2.5 没有代码标准

  sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具规范代码编写

3.6 没有足够的或者过多的注释

  没有注释将使代码可读性变差，特别是当不可避免地出现人员变动时，程序的可读性将大幅下降，而过多的注释又会使得开发人员将精力过多地花费在阅读注释上，亦违背初衷

2.7 潜在的bug

sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具检测出潜在的bug

2.8 糟糕的设计（原文Spaghetti Design，意大利面式设计）

  通过sonar可以找出循环，展示包与包、类与类之间的相互依赖关系，可以检测自定义的架构规则；
  通过sonar可以管理第三方的jar包可以利用LCOM4检测单个任务规则的应用情况 ，检测耦合

3. Sonar 组成

4. Sonar 集成过程

开发人员在他们的ide中使用SonarLint运行分析本地代码。

开发人员将他们的代码提交到代码管理平台中（SVN，GIT等）

持续集成工具自动触发构建，调用SonarScanner对项目代码进行扫描分析

分析报告发送到SonarQube Server中进行加工

SonarQube Server 加工并且保存分析报告到SonarQube Database中，通过UI显示分析报告

 

问题：sonarqube ERROR: SonarQube scanner exited with non-zero code: 137

在我们环境中，源码扫描时，有时遇到这个错误：

Process leaked file descriptors. See https://jenkins.io/redirect/troubleshooting/process-leaked-file-descriptors for more information
WARN: Unable to locate 'report-task.txt' in the workspace. Did the SonarScanner succeeded?
ERROR: SonarQube scanner exited with non-zero code: 137
Recording test results
Build step 'Publish N'SIQ Collector' marked build as failure

可能引起原因1：内存不足引起的

https://blog.csdn.net/lxlmycsdnfree/article/details/87875272
https://stackoverflow.com/questions/34631518/exit-code-137-when-running-sonarqube-analysis-on-jenkins

https://docs.sonarqube.org/pages/viewpage.action?pageId=6959552
https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/

可能引起原因2：Jenkins版本问题

最后测试，我们是第二个原因引起的，所以替换了Jenkins版本

 

参考

http://static.kancloud.cn/guanfuchang/sonar/909453

https://my.oschina.net/u/3714710/blog/1555898