Devops关键工具及技术(四)—基于Pipeline的SonarQube静态代码扫描

最新推荐文章于 2024-05-22 22:39:24 发布
最新推荐文章于 2024-05-22 22:39:24 发布
阅读量5.9k 收藏 8
点赞数 1
分类专栏: Devops 文章标签: Sonarqube 静态代码扫描 pipeline Devops Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zbbkeepgoing/article/details/82962565
版权

在上一篇文章Devops关键工具及技术(三)—基于Pipeline的Git+Maven+Junit持续集成中,我们实现了基于Pipeline的Git+Maven+Junit持续集成,并利用Pipeline的Junit插件进行Jenkins图形化展示Junit结果。
这篇文章我们将会介绍基于Pipeline的静态代码扫描。利用SonarQube进行先前持续集成中Spring-boot的Java web工程代码扫描。代码工程Github地址为:https://github.com/zbbkeepgoing/springboot-demo

SonarQube

SonarQube是一个开源的代码质量管理平台,它可以扫描出我们代码中的一些bug、重复代码、单元测试覆盖率等问题。Sonar对应有服务端和客户端,服务端需要我们安装Sonar Server,而客户端通过Sonar Scanner进行项目源码扫描,然后上传导Sonar Server中。Sonar的整体架构如下图:
在这里插入图片描述

  • 准备工作

既然我们在第一篇文章Devops关键工具及技术(一)—Jenkins 容器化就介绍了Jenkins的容器化,所以Sonar Server我们也采用容器的方式进行启动。而Scanner则用Jenkins的插件进行实现。
Sonar Server本身是需要安装数据库进行存储的,但是由于我们目前只是做一些测试,所以对应也没有安装额外的数据库,只是用了容器内部的H2数据库。当然在生产环境或者特殊要求下,我们还是需要安装额外的数据库来保证更好的稳定性。细节请查看SonarQube Images

  • 启动SonarQube

通过Docker启动SonarQube。细节请查看SonarQube

docker run -d --name sonarqube  -p 9000:9000 -p 9092:9092 sonarqube

  • SonarQube界面
    在这里插入图片描述

  • SonarQube用法

    Java+Maven

mvn sonar
最低0.47元/天 解锁文章
zbbkeepgoing
关注
专栏目录
Devops实现之sonarQube()
鱼的博客
04-26 518
静态测试是指不运行被测程序本身,通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性。而动态测试是通过运行被测程序来检查运行结果与预期结果的差异,并分析运行效率和健壮性等指标。 静态测试被测对象是各种与软件相关的有必要进行测试的产物,是对需求规格说明书、软件设计说明书、源程序做结构分析、流程图分析、符号执行来找错。静态测试可以手工进行,充分发挥人的思维的优势,并且不需要特别的条件,容易展开,但是静态测试对测试人员的要求较高,至少测试人员需要具有编程经验。 静态测试主要包括各阶段的评审、代码检查、
SonarQube 简介
最新发布
weixin_41605826的博客
07-26 931
SonarQube是一个用于管理代码质量的平台,它支持多种编程语言,如Java、C#、C/C++、Python等。通过集成到CI/CD流程中,SonarQube能够自动对代码进行静态分析,并生成详细的质量报告。这些报告不仅包含了问题列表,还提供了问题的详细描述、严重程度、修复建议等信息,帮助开发者快速定位和解决问题。SonarQube支持自定义检查规则,以满足不同项目的特定需求。团队可以根据自身的编码规范、最佳实践或行业标准,创建或调整检查规则,以便更准确地识别代码中的问题。
DevOps 组件部署 - SonarQube
IoTHub - 物联网开源技术社区
02-08 470
DevOps 组件部署 - SonarQube
Azure DevOps Azure Pipeline 集成 SonarQube 维护代码质量和安全性
qq_41146932的博客
08-25 355
大家也多多操作练习,本文所分享的内容也存在着很多我自己的一些理解,有理解不到位的,还希望多多包涵,并且指出不足之处。选择 "Pipelines =》“”Service connection" ,点击 “New service connection” 添加新的服务连接。接下来就是 Pipeline 中添加 Sonar 的 Task了,打开已经编辑好的 Azure Pipeline 的 YAML 文件。选择本次实验的代码项目,点击 “Set Up“ 进行设置。点击 “Verify and save”
Devops 开发运维基础篇之Jenkins+SonarQube代码审查
不要因为走的太远而忘了为什么出发
02-17 1027
文章目录一、SonaQube 简介二、部署安装1. 安装MySQL数据库2. 安装SonarQube 一、SonaQube 简介 SonarQube 是一个用于管理代码质量的开放平台,可以快速的定位代码中潜在的或者明显的错误。 目前支持 java,C#,C/C++,Python,PL/SQL,Cobol,JavaScrip,Groovy等二十几种编程语言的代码质量管理与检测,底层使用 elasticsearch 作为代码检索工具。 官方网站 二、部署安装 环境要求 软件 服务器 版本
DevOps代码质量检查平台SonarQube的搭建
夫礼者的专栏
02-11 837
在SCM服务端进行自动化地静态检查来改进代码质量的举措执行一段时间之后,另外一个非常现实的问题也渐渐浮出水面:“我们如何界定每次代码提交对代码代码质量的影响?”,也就是"我们应该如何量化每次代码更新的影响?"。本文将尝试解决这个问题。正如管理学之父彼得德鲁克所说:“如果你不能度量它,你就无法改进它”。
devops杂谈(一)Sonarqube安装
wzj_110的博客
09-20 274
一 Sonaqueb是什么 注意: Sonarqube是'基于java语言'开发的,因此运行之前'必须先安装Jre' Sonarqube支持Windows,mac和linux,但是'安装包并不区分平台',也就是这三个平台'下载包是一样的',只是'启动方式不同' 二 安装前的准备 'Sonaqube版本'需要与'jdk版本'和'数据库的版本'适配 (1) 确定需要安装的SonarQube版本,'不同版本'后期对应的'插件版本也不相同',包括一些数据库的支持等,仔细阅读版本的说明。 ...
Devops关键工具技术(五)—基于Pipeline的Bash脚本部署
zbbkeepgoing的博客
10-10 1698
在上一篇文章Devops关键工具技术()—基于PipelineSonarQube静态代码扫描中,我们在持续集成的基础上加上了静态代码扫描,并利用Pipeline对之前Spring-boot的工程进行了代码扫描。并且在SonarQube中看到了代码中各个指标的一些信息。代码工程Github地址为:https://github.com/zbbkeepgoing/springboot-demo 。...
Devops关键工具技术(三)—基于Pipeline的Git+Maven+Junit持续集成
zbbkeepgoing的博客
10-04 2159
在上一篇文章Devops关键工具技术(二)—Jenkins2.0 Pipeline中,我们介绍了Jenkins2.0中Pipeline的一些基本用法,接下来我们将会利用Pipeline展开持续集成的运用。 首先我们需要一个持续集成的代码工程,笔者也建了一个基于Spring-boot的Java web工程。Github地址为:https://github.com/zbbkeepgoing/spri...
Devops关键工具技术(六)—基于Pipeline的Web自动化测试[三](Web自动化测试的流水线集成)
zbbkeepgoing的博客
10-18 3383
在之前的五篇文章中,我们介绍了从Git、Maven、Junit、SonarQube、Sh等工具技术介绍了从持续集成到静态代码扫描再到简单的部署。基本可以满足了我们在基础开发过程的流水线。 之前的文章链接见下: Devops关键工具技术(一)—Jenkins 容器化 Devops关键工具技术(二)—Jenkins2.0 Pipeline Devops关键工具技术(三)—基于Pipeline的...
Devops关键工具技术(六)—基于Pipeline的Web自动化测试[一](Windows下自动化测试工具安装)
zbbkeepgoing的博客
10-15 2254
在之前的五篇文章中,我们介绍了从Git、Maven、Junit、SonarQube、Sh等工具技术介绍了从持续集成到静态代码扫描再到简单的部署。基本可以满足了我们在基础开发过程的流水线。 之前的文章链接见下: Devops关键工具技术(一)—Jenkins 容器化 Devops关键工具技术(二)—Jenkins2.0 Pipeline Devops关键工具技术(三)—基于Pipeline的...
devops===》Jenkins(pipeline)+gitlab+sonar代码扫描漏洞扫描
Elaina_fang✨✨✨的博客
12-20 1911
一、sonar基本概念及使用 Sonarqube是一个开源的代码质量检测工具,可以单独使用,也可以作为一个检测步骤放在Jenkins的pipeline CI/CD 流水线。简单的理解,他通过一个snarqube scanner 的工具扫描代码,然后把结果发给 sonarqube server,用户可以在这个sonarqube server的网页界面查看报告。 当我们把Jenkins和 sonarqube整合的时候,Jenkins调用 sonarqube scanner 扫描,把结果发送给sonarq
devops学习(七) sonarqube 代码质检工具
默子昂
07-26 1242
代码devops学习(七)sonarqube代码质检工具
6.Devops实战篇之——代码测试(SonarQube
PSYCHO0921的博客
05-22 1313
Jenkins整合Sonarqube进行代码质量检测
DevOps实战系列【第九章】:详解Sonarqube搭建及集成Jenkins环境
lijie1051的专栏
12-16 2256
手把手教你玩转DevOps全栈技术
SonarQube 破解,以及集成Azure Devops,集成PR
yy118323的博客
01-17 1554
SonarQube的破解/SonarQube集成Azure DevOps的Pipline/SonarQube集成Azure Devops PR
jenkins sonarqube pipeline ERROR: Unable to create symbol table for : /root/.jenkins/workspace/xxx
xuTao667的博客
05-19 171
项目在流水线sonarqube质量检测时报标题所示错误, 经排查是jdk版本问题导致, 项目开发使用的是jdk1.8 所以在配置jenkins item时要指定jdk为1.8版本。2. 自由风格方式item指定jdk。### 1. 增加jdk环境。3.流水线方式指定jkd。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值