基于SonarQube的增量代码扫描

最新推荐文章于 2025-06-08 11:25:11 发布
原创 最新推荐文章于 2025-06-08 11:25:11 发布 · 1.2w 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

团队推行SonarQube进行代码质量管理时,旧项目初始扫描结果差易使人失去兴趣。本文提出两步走策略:先为团队画基线,在sonar - project.properties设置版本并运行命令获取质量基线;再设置增量代码扫描,在sonarqube添加指标设为0,设置leak period,添加不规范代码扫描。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

# 本方法源自赜爷指导

目录

前言

画基线

设置并运行

前言

       很多团队刚开始推行使用SonarQube进行代码质量管理的时候总会遇到一个揪心的问题:因为很多旧项目之前压根就没用这套工具,团队一上来兴致勃勃的就拿着这个工具跑指标,新鲜感很强,毕竟人是好奇的动物。然鹅,几分钟后的结果却是意料之外:几乎接近于0的测试覆盖率,几千上万个bad taste、bug和漏洞等等不一而足,然后跑多两次后大家就从兴趣盎然到心如死灰。本人的团队就是一个血淋淋的现实,然后这样也在逼着我去想应该用什么方法激起大家使用新工具的兴趣呢,毕竟行政干预从来就不是一个那么友好,或者说简直是粗暴的方式。

    后来,我想既然要引导兴趣,肯定要让同事觉得坑不大,可以越过的,然后一步一步改善的。后来就想到分以下两步走:

1、先把所有团队画一个基线(baseline);

2、然后只针对增量代码进行扫描(即对sonarqube中的质量阈中的以“新XXX”开头等度量指标全部设为不大于0,这意味着只做增量代码扫描)。

画基线

1、在sonar-project.properties中,把sonar.projectVersion=1.1(初始值,这里以1.1作为基线)

# 指定项目的版本为1.1
sonar.projectVersion=1.1

2、在命令行运行sonnar-scanner命令,得到整个项目的质量基线。

项目质量基线

 

设置并运行

1、在sonarqube中,添加以“新”开头的指标,并同时把它的指标设成0,即代表增量代码扫描;并同时把leak period 设成默认的previous_version。

2、开始在工程中人为添加坏味道等不规范的代码,然后跑sonar-scanner进行扫描。

 

 

Sonar增量扫描设置
隔壁老瓦的专栏
12-27 2199
打开项目配置(只有管理员有权限) 点击新代码周期 默认是 上个版本:新代码周期会从上个版本的分析开始计算 还可以设置: 上个版本 新代码周期会从上个版本的分析开始计算 天数 使用指定天数作为新代码周期的浮动窗口。 指定分析 为新代码周期选择一次分析,作为基线。 ...
SonarQube代码扫描工具
SuperGloo
04-21 4971
SonarQube(社区版) SonarQube是一个用于代码质量管理的开放平台,通过插件机制,SonarQube可以集成不同的测试工具,代码分析工具,以及持续集成工具,例如Hudson/Jenkins等。 sonarqube的七个维度检测代码质量: 复杂度分布:代码复杂度过高将难以理解 重复代码:程序中包含大量复制、粘贴的代码而导致代码臃肿,sonar可以展示源码中重复严重的地方 单元测试统计:统计并展示单元测试覆盖率,开发或测试可以清楚测试代码的覆盖情况 代码规则检查:检查代码是否符合规 范 注释率:
java项目使用Sonar进行质量管理(最新版-增量代码扫描
zjy_love_java的博客
07-14 1万+
java项目使用Sonar进行质量管理百度搜索各种坑本文介绍1. SonarQube 8.4.0下载和安装2. IDEA SonarLint插件安装和使用3. mvn 命令扫描项目4. Sonar 增量代码扫码的使用 百度搜索各种坑 看到这篇文档的相信已经看了不少文章了,主要两个问题: 版本老旧,5.x、6.x、7.x都有,而且安装复杂,新版本做了很多优化,简洁了很多 搜索“增量代码扫描”,全都是一个人答案,而且是个老旧的答案。其实新版本,首页默认已经支持了增量代码扫码。 教程都是配置mysql,新版so
sonarqube And Eslint And CheckStyle 增量扫描
weixin_42236449的博客
08-05 1498
sonarqube And Eslint 增量扫描
243. 使用 SonarQube 代码扫描
最新发布
weixin_43484713的博客
06-08 1620
SonarQube 是一个开源的代码质量管理平台,用于持续检测代码质量,帮助开发团队发现并修复代码中的问题。它支持多种编程语言(如 Java、C#、JavaScript、Python 等),并提供静态代码分析、代码覆盖率、重复代码检测、复杂度分析等功能。SonarQube 通过静态代码分析(Static Code Analysis)检查代码中的潜在问题,例如:通过与单元测试工具(如 JaCoCo、Cobertura)集成,SonarQube 可以统计代码的测试覆盖率,帮助团队评估测试的完整性。识别代码库中的
Sonarqube代码扫描增量扫描
cestlavieqiang的博客
03-11 4310
本文主要介绍如何利用Sonarqube 对项目代码进行增量扫描增量的数据相对全量来说更有针对性,或者说更有意义。 前面文章中介绍的都是全量扫描的操作,如果想要实现增量扫描主要做如下操作。 前提条件:Sonarqube扫描相关的服务、插件等已经准备就绪,详细操作可参考下面的文章: Sonarqube代码扫描之Windows本地搭建 Sonarqube代码扫描之linux搭建 Sonarqube代码扫描之jenKins+git持续集成 登录到sonarqube 的web页面,初始账号密码都是admin。点击配
sonar+gitlab提交阻断 增量扫描
matrixlzp的博客
03-25 5054
sonarqube 是一款开源的静态代码扫描工具。
sonarqube扫描源分支相对于目标分支的增量代码
weixin_36222134的博客
03-05 1739
在你的 CI/CD Pipeline 中添加一个步骤来执行 SonarQube 扫描。你需要使用 SonarScanner 工具来运行扫描。通过这些步骤,你可以将 SonarQube 集成到 Pipeline 中,并实现增量代码扫描。:确保在 SonarQube 中已经创建了项目,并配置了所需的扫描规则和属性。:运行你的 Pipeline,SonarQube 将执行增量扫描并显示结果。属性来指定要扫描的分支及其目标分支。这样 SonarQube 将只扫描。:要实现增量扫描,可以使用。
SonarQube结合GitLab CI/CD自动检测Push和Merge Request的增量代码质量
sonicning的专栏
09-22 2443
Docker运行Gitlab-runner并关联SonarQube自动检测Merge Request中代码的质量
【Teams】如何使用sonarqube(docker版)扫描dotnet core版本的Teams项目的代码质量
04-30 722
作为码农,日常干得最多的事儿就是coding(小声:debugging),那完成功能后,一般流程我们需要code review(衡量代码质量的一种方式便是会议上sh*t的数量了)。那为了减少code review时被喷的次数,减小我们幼小心灵的创伤,我们最好提前消灭掉丑陋的代码。 正好前两天阅读Teams的一款应用源代码的时候,想着能拿着它扫描一把,看会不会发现一...
jenkins+ SonarQube代码质量测试)从gitlab拉取若依代码进行检测
zero_open的博客
05-06 2508
SonarQube支持多种开发语言,包括但不限于Java、Python、PHP、JavaScript、CSS、C、C++、Go等,可以检测出重复代码代码漏洞、代码规范和安全性漏洞等问题。其检测范围涵盖了从细微的样式选择到设计错误等多个方面,可以确保代码可靠性,减少技术债务。SonarQube具有多种功能特性,例如能够结合静态和动态分析工具,持续扫描项目的代码质量;与用户的开发工作流程集成,实现跨项目分支和拉取请求的持续代码检查;提供项目代码质量报告,使开发人员能够更清楚地了解代码的健康状况。
Sonar 增量扫描(不支持)
小生测试的博客
07-10 3635
问题:sonar 是否支持增量式(incremental )的扫描,每次扫描都是全量扫描有点慢 答:在csdn找的答案五花八门,后在官方的论坛下找到了一些soanr技术人员的回答(时间是2020 2 12)。 意思是说 现在的sonar只支持C++项目的增量扫描,不支持java项目。 附上链接: https://community.sonarsource.com/t/incremental-scan-support/19938 所以还是得回到怎么将扫描时间降下来的问题。 分析的哪一方面花费了很长时
diff-check:基于checkstyle,pmd和jacoco的增量代码检查工具
04-04
差异检查 介绍 使用代码检查工具扫描项目时,它将立即在每个文件中输出所有问题。 这使得在清除所有现有问题之前,很难对正在开发的代码进行有效的检查。 为了解决这一难题,我扩展了包括checkstyle,PMD和jacoco在内的那些工具,使其仅对增量代码行更改进行扫描。 用法 将提交提交到存储库时运行样式和缺陷检查 您可以运行以下命令来安装检查工具 # Download the install.sh curl https://raw.githubusercontent.com/yangziwen/diff-check/master/hooks/install.sh > install.sh # Install the hook to a specified git repository sh install.sh --repo-path= ${the_absolute_path_of
Lint增量扫描
weixin_33736832的博客
11-28 531
前言先来说我为什么要做增量扫描这个事情,毕竟代码扫描已经老生常谈了,业界方案一搜一大堆,有什么好讲的,大部人看到这篇文章的时候肯定这么想吧,但是注意今天我要分享的不是全量扫描,我分享的是从无到有实现增量扫描的过程,有的时候实现一个方案从来不是重点,我们对于方案的认知程度才是我们自己最重要的收获 ̄▽ ̄ 。 再来说说怎么样的代码扫描才算是高效的,我是这么理解的: 不能增量检查的代码扫描都是耍流氓,以...
Lint增量扫描实践
朱利源的博客
09-11 1034
Lint增量扫描实践 1. 背景 在上一篇Android Lint代码检查实践中说到了Lint全量扫描项目的耗时在3.5m,执行时机是在mr的时候,所以在大多数时候,不会因为Lint检查阻塞开发流程。 但是,特殊情况下,比如你只提交了几行代码需要mr的时候,review只需要10秒完事了,而Lint检查却需要3.5m,这个时候你就需要浪费宝贵的3分多钟进行等待,这种事情是我不希望看到的,本着对极致的追求,我决定支持增量扫描的功能,来压缩Lint扫描的时间。 老规矩先看下成果,不然被我骗着做完后发现没卵用怎么
代码扫描工具之Klocwork
youyoulumingwl的博客
05-12 1633
Klocwork is a static analysis tool used to scan software code at build time for security and logic flaws.https://help.klocwork.com/current/en-us/concepts/home.htm配置好server license 等相关信息之后可以在本地编译、扫描、上传报告。在coverity desktop 中create project之后,本地会生成project_root
想要在企业中落地SonarQube的同学看这里,本文一定会帮到大家
liwenxiang629的博客
01-10 1262
最近写了很多关于SonarQube的文章,在这里做一个综合性的总结。建议大家这样阅读本篇文章,先看文章的概要(无需点击具体知识点涉及的相关文章链接),对SonarQube有一个整体的印象!然后当大家在实际工作中遇到了具体的问题时,再详细阅读具体问题的解决方案。建议大家收藏这篇文章,只要大家想做SonarQube相关的工作,本篇文章一定会帮到您!
sonarQube之平台搭建及sonar-scanner扫描
热门推荐
songer_xing的博客
08-04 2万+
SonarQube为静态代码检查工具,采用B/S架构,帮助检查代码缺陷,改善代码质量,提高开发速度,通过插件形式,可以支持Java、C、C++、JavaScripe等等二十几种编程语言的代码质量管理与检测。        通过客户端插件分析源代码,sonar客户端可以采用IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式,并通过各种不同的分析机制对项目源代码进行分析和
Sonarqube基础篇:property设定
知行合一 止于至善
09-18 6522
这篇文章介绍以下如何使用SonarQube(LTS的5.6.5版本)的WebApi(SonarQube的RestApi)来对Sonar进行设定。 property操作的API sonar通过property来对设定进行管理,通过对应的api可以进行增删改查,相关的信息如下: http方法 api 说明 GET /api/properties 获得property信息 POST...
sonar 增量扫描
04-03
<think>好的,我需要帮助用户了解如何配置和实现SonarQube增量扫描。首先,我应该回顾用户提供的引用内容,看看有哪些关键步骤和注意事项。 根据引用[1],设置SonarQube项目是第一步,需要确保项目已经创建,并且配置了扫描规则和属性。这可能包括在SonarQube服务器上预先定义好项目,设置质量阈等。 接下来,引用[2]提到增量扫描主要针对新增或修改的代码,这比全量扫描更有针对性。因此,用户可能需要配置扫描仅分析这些变更部分。引用[3]和[4]提供了具体的方法,比如使用sonar.scan.incremental参数,或者在质量阈中设置以“新XXX”开头的指标,限制增量代码的问题数量。 用户的问题涉及配置和实现方法,所以我需要分步骤说明。首先,项目配置,确保项目存在并设置好规则。然后是增量扫描的触发方式,可能包括命令行参数或CI/CD集成。同时,质量阈的配置也很重要,确保只检查增量代码的问题。此外,插件和工具的支持,如使用GitHub的脚本来自动处理增量文件,可能也是必要的。 需要注意的是,不同版本的SonarQube可能有不同的配置方式,用户可能需要查阅对应版本的文档。此外,增量扫描可能需要结合版本控制系统,如Git,来识别变更的文件,确保扫描的准确性。 最后,用户可能需要实际操作的示例,比如具体的扫描命令,或者如何在CI/CD流水线中集成增量扫描。同时,常见问题如性能优化和处理冲突也需要提及,帮助用户避免常见陷阱。</think>### SonarQube增量扫描配置及实现方法 #### **一、基础配置步骤** 1. **创建并配置SonarQube项目** - 在SonarQube服务器中创建项目,配置扫描规则(如代码规范、安全漏洞检测规则)和项目属性(如语言类型、版本控制路径)[^1]。 - 示例配置项:`sonar.projectKey`、`sonar.sources`、`sonar.exclusions`。 2. **启用增量扫描模式** - 在扫描命令中添加增量参数:`sonar.scan.incremental=true`。 - 对于Maven项目,可通过命令行触发: ```bash mvn sonar:sonar -Dsonar.scan.incremental=true ``` 3. **配置质量阈(Quality Gate)** - 在SonarQube的质量阈设置中,将“新代码”相关指标(如“新代码的重复率”“新增严重问题数”)设置为阈值≤0,强制仅关注增量代码问题[^4]。 --- #### **二、增量扫描实现方式** 1. **基于版本控制系统的增量识别** - SonarQube通过集成Git/SVN等工具自动识别变更文件。例如,使用Git时,增量扫描会对比当前分支与目标分支(如`main`)的差异文件[^3]。 2. **增量扫描插件与脚本** - 使用开源脚本(如GitHub的`sonar-scan-incremental-analysis`)自动提取最近提交的变更文件,并仅扫描这些文件。 示例脚本逻辑: ```bash git diff --name-only HEAD^..HEAD | xargs sonar-scanner -Dsonar.inclusions="{}" ``` 3. **CI/CD流水线集成** - 在Jenkins/GitLab CI中配置增量扫描任务,仅在代码合并请求(Merge Request)时触发。 示例GitLab CI配置片段: ```yaml sonar_scan: script: - sonar-scanner -Dsonar.scan.incremental=true -Dsonar.projectVersion=${CI_COMMIT_SHORT_SHA} ``` --- #### **三、注意事项** 1. **兼容性与版本限制** - SonarQube 8.9+版本对增量扫描支持更完善,旧版本可能需要插件扩展[^2]。 2. **性能优化** - 增量扫描时间显著短于全量扫描,但仍需避免频繁触发(如每次提交),建议在代码评审前执行。 3. **冲突处理** - 若增量代码与主干代码存在冲突,需优先解决冲突后再执行扫描。 ---
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值