在上一篇文章Devops关键工具及技术(三)—基于Pipeline的Git+Maven+Junit持续集成中,我们实现了基于Pipeline的Git+Maven+Junit持续集成,并利用Pipeline的Junit插件进行Jenkins图形化展示Junit结果。
这篇文章我们将会介绍基于Pipeline的静态代码扫描。利用SonarQube进行先前持续集成中Spring-boot的Java web工程代码扫描。代码工程Github地址为:https://github.com/zbbkeepgoing/springboot-demo 。
SonarQube
SonarQube是一个开源的代码质量管理平台,它可以扫描出我们代码中的一些bug、重复代码、单元测试覆盖率等问题。Sonar对应有服务端和客户端,服务端需要我们安装Sonar Server,而客户端通过Sonar Scanner进行项目源码扫描,然后上传导Sonar Server中。Sonar的整体架构如下图:
- 准备工作
既然我们在第一篇文章Devops关键工具及技术(一)—Jenkins 容器化就介绍了Jenkins的容器化,所以Sonar Server我们也采用容器的方式进行启动。而Scanner则用Jenkins的插件进行实现。
Sonar Server本身是需要安装数据库进行存储的,但是由于我们目前只是做一些测试,所以对应也没有安装额外的数据库,只是用了容器内部的H2数据库。当然在生产环境或者特殊要求下,我们还是需要安装额外的数据库来保证更好的稳定性。细节请查看SonarQube Images。
- 启动SonarQube
通过Docker启动SonarQube。细节请查看SonarQube
docker run -d --name sonarqube -p 9000:9000 -p 9092:9092 sonarqube
-
SonarQube界面
-
SonarQube用法
Java+Maven
mvn sonar