代码静态扫描工具sonar介绍

最新推荐文章于 2025-06-13 13:19:15 发布
原创 最新推荐文章于 2025-06-13 13:19:15 发布 · 4w 阅读 · 45 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sonar

一、SonarQube整体介绍

   SonarQube为静态代码检查工具,采用B/S架构,帮助检查代码缺陷,改善代码质量,提高开发速度,通过插件形式,可以支持Java、C、C++、JavaScripe等等二十几种编程语言的代码质量管理与检测。

   通过客户端插件分析源代码,sonar客户端可以采用IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式,并通过各种不同的分析机制对项目源代码进行分析和扫描,并把分析扫描后的结果上传到sonar的数据库,通过sonar web界面对分析结果进行管理

可以从七个维度检测代码质量:

(1)复杂度分布(complexity):代码复杂度过高将难以理解
(2) 重复代码(duplications):程序中包含大量复制、粘贴的代码而导致代码臃肿,sonar可以展示源码中重复严重的地方

(3) 单元测试统计(unit tests):统计并展示单元测试覆盖率,开发或测试可以清楚测试代码的覆盖情况
(4) 代码规则检查(coding rules):通过Findbugs,PMD,CheckStyle等检查代码是否符合规范
(5) 注释率(comments):若代码注释过少,特别是人员变动后,其他人接手比较难接手;若过多,又不利于阅读
(6) 潜在的Bug(potential bugs):通过Findbugs,PMD,CheckStyle等检测潜在的bug

(7) 结构与设计(architecture & design):找出循环,展示包与包、类与类之间的依赖、检查程序之间耦合度

二、SonarQube平台由四部分组成:

1、 SonarQubeServer 

1) Web Server, 浏览质量的快照和配置sonarqube实例

2)SearchServer based on Elasticsearch, 执行来自页面的查询请求

3)Compute EngineServer ,处理代码分析报告并保存在sonarqube数据库

2、SonarQube Database :

 1) sonarqube实例的配置(安全、插件设置等)

2) 项目、视图等的质量快照。

3、SonarQube Plugins

语言、SCM、集成、身份验证和治理插件

一个或多个sonarqube Scanners运行分析项目

 

三、集成

下面是SonarQube与其他sonarqube ALM工具如何集成以及SonarQube各种组件在何处被使用。

1)开发者在IDE开发代码并使用sonarlint运行本地分析

2)开发者把代码提交到SCM工具中:git, SVN, TFVC, ...

3)持续集成服务器触发自动编译以及执行SonarQubeScanner

4)SonarQubeServer 处理分析报告

5)SonarQubeServer 处理并存贮分析报告到数据库里并在页面上显示处理结果.

6)开发者审查解决他们的问题,在页面管理问题

7)管理者获得分析报告
Ops 可以使用API从 SonarQube抽取数据
Ops 可以使用 JMX 监控 SonarQubeServer.

四、关于机器部署

1、只能有1SonarQube Server 1 SonarQube Database

2、考虑性能优化,每一个组件(server, database, scanners)应当安装在不同的机器上,并且是专用服务器。

3SonarQubeScanners 可以水平扩展机器

4、所有机器的时间必须要同步

5SonarQube Server SonarQube Database 必须在同一网段

6SonarQubeScanners SonarQube Server可以不在同一网段

最低0.47元/天 解锁文章

200万优质内容无限畅学
Sonar - 代码静态扫描工具在 Erlang 中的介绍
XtmData的博客
09-17 322
注意:在实际使用 Sonar 进行代码静态分析时,可以根据项目的具体需求和规模进行相应的配置和定制,以获得更准确和有针对性的分析结果。代码质量评估:Sonar 可以对代码进行全面的静态分析,评估代码的质量并发现潜在的问题,如代码重复、代码复杂度过高、未使用的变量等。代码覆盖率分析:Sonar 可以通过集成代码覆盖率工具,对代码的测试覆盖率进行分析,帮助开发者评估测试的完整性和质量。提高代码质量:Sonar 可以帮助开发者发现并修复代码中的潜在问题,提高代码的质量和可维护性。
静态代码分析工具sonarlint使用一——windows下的makefile工程
卢鸿波-security²-安全二次方
06-09 1137
本文以windows下makefile工程初步介绍静态代码扫描工具sonarlint的使用,如何自动生成compile_commands.json脚本文件,如何查看扫描结果、分析问题、规则配置等。
Java代码质量分析Sonar
赵广陆
06-18 5494
目录 1. sonar安装 1.1 简介 1.1.1 客户端 1.1.2 sonar 版本区分 1.1.2.1 社区版 1.1.2.2 开发者版 1.1.2.3 企业版 1.2 安装部署 1.2.1 修改文件句柄数 1.2.2 创建挂载目录 1.2.3 创建docker-compose.yml 1.2.4 启动 1.2.4.1 访问测试 1.2.5 安装插件 1.2.5.1 汉化插件 1.3 静态分析插件介绍 1.3.1 什么是静态代码分析 1.3.1.1 静态代码分析优势
一文了解sonar的搭建和使用
程序员伊成
06-13 1481
用户名登录默认账户密码:admin,admin控件配置问题-简述。指标-根据条件搜索项目使用代码规则-不同语言的代码检测规则定义。质量配置-对不同语言的代码检测规则配置。默认sonar way配置。未做深入详细调研。质量阈-代码检测指标定义。达到条件时项目模块变红。通过质量阈指标则项目为绿色。配置-管理员权限可以看到此菜单,包含了最基本的用户,项目,插件的配置等信息。插件下载可以不通过sonar方式进行安装。其他(项目比较)-可以对多个不同的项目进行各个不同指标的比对查看。用户-我的账号。
Sonar代码质量管理工具
IDO老徐软件测试窝
11-17 312

 
 
 
 
 最近上线了,Sonar代码扫描工具;
 与jenkins集成;
 实现自动扫描;
 下面来简单聊聊Sonar能解决什么问题;
 ----------------------
 
 
 
 
 Sonar简介
 
代码检查工具Sonar
lu_linux的博客
09-11 1625
sonar介绍 Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具代码分析工具,以及持续集成工具。与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从...
sonar 扫描
Asia_ZhangQQ的博客
04-07 224
sonar oclint swiftlint pdf sonar报告
静态代码扫描工具 Sonar 配置及使用
洛西纳的专栏
08-21 9190
静态代码扫描工具 Sonar 配置及使用
deploy-sonar代码扫描分析工具
03-01
SonarQube是一款强大的开源代码质量管理工具,它集成了代码静态分析、复杂度计算、代码异味检测、漏洞查找等功能,帮助开发者在软件开发过程中发现并修复代码问题,提高代码质量和安全性。在本文中,我们将深入探讨...
deploy-sonar代码扫描分析
10-09
"deploy-sonar代码扫描分析"是一个针对软件代码质量进行深度检查的过程,它通常涉及到使用SonarQube这样的工具来执行静态代码分析和复杂度计算。SonarQube是一款开源平台,专门用于持续代码质量管理,它能检测出代码...
静态代码分析工具sonarlint使用三——linux下的makefile工程
卢鸿波-security²-安全二次方
07-15 495
本文以linux下makefile工程初步介绍静态代码扫描工具sonarlint的使用,如何自动生成compile_commands.json脚本文件,如何查看扫描结果、分析问题、规则配置等。
代码检查工具SONAR使用经验
03-15
Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具代码分析工具,以及持续集成工具。 与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。 在对其他工具的支持方面,Sonar 不仅提供了对 IDE 的支持,可以在 Eclipse 和 IntelliJ IDEA 这些工具里联机查看结果;同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。 此外,Sonar 的插件还可以对 Java 以外的其他编程语言提供支持,对国际化以及报告文档化也有良好的支持。
Sonar-runner Sonar代码扫描辅助工具sonarScanner
07-20
sonar4版本扫描辅助程序. 向服务器上传代码并做扫描分析. 使用方式: CMD切换到项目根目录下(sonar-project.properties文件所在目录)运行 sonar-runner
sonarqube质量分析工具
08-28
SonarQube是一个开源工具,可以帮助进行代码质量分析和报告。它会扫描用户的源代码,查找潜在的错误,漏洞和可维护性问题,然后在报告中显示结果,方便用户识别应用程序中的潜在问题。
代码注释比统计工具
05-26
1、显示各个文件详细注释情况及比例值; 2、汇总各个所有统计结果; 3、图形显示汇总结果情况;
java开发代码注释情况统计工具
08-29
这是本人自己开发的一款java代码注释统计工具,支持统计总行数,总代码行数,总注释行数,注释率,注释合格率自定义,统计详细,单个文件统计情况,可导出统计报告等! 注:本软件未捆绑jre(java环境),需要在已安装java环境的PC上使用!
看这里,全网最详细的Sonar代码扫描平台搭建教程
热门推荐
公众号:【伤心的辣条】
08-17 1万+
官网:https://www.sonarqube.org/ 1.sonar简介 sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 sonar通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级; 同时,sonar可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来.
代码质量管理工具】——sonar
幸运的梦之星
12-25 1万+
【前言】    bug越改越多,程序一换数据就崩,这就是目前我们系统的一个现状。在这之前,进行过前后台代码规范整理,代码判空等工作,但这是人工检测的,有点慢,效率也比较低。当重新导入数据之后,模块大多都起不来了。于是乎,忍无可忍,我们就用了强大的代码质量工具——sonar来自动检测我们的代码,因为我们要写更安全,更优雅的代码。    【sonar简介】     sonarSonar
代码审查工具Sonar(一)-- 简介与安装
10-18 9223
代码审查是持续集成理论里重要的一部分。审查软件和测试软件之间存在着微妙的差别。测试是动态的,它执行软件,目的是测试软件的功能。审查则基于一组预先定义的规则分析代码。审查也不同于编译。编译是从语法的角度来检查代码,审查则是从语法以外的角度着手,例如,编码风格,编码规范,重码率,复杂度,代码注释率等等。众所周知,编译正确的代码不一定就没有问题,那么除了测试人员从运行整个软件的角度来排查功能点,从源代码
java代码扫描工具 sonar
最新发布
07-17
### Sonar 在 Java 代码质量分析中的作用 Sonar 是一款广泛使用的静态代码分析工具,专注于提高代码质量和安全性。它支持多种编程语言,包括 Java,并能够检测代码中潜在的漏洞、坏味道以及不符合编码规范的部分[^1]。 ### Sonar 的核心功能 - **漏洞检测**:Sonar 能够识别代码中存在的安全漏洞,例如 SQL 注入、跨站脚本攻击(XSS)等。 - **代码异味检查**:通过规则引擎,Sonar 可以发现代码中违反最佳实践或可读性差的部分。 - **代码复杂度分析**:帮助团队了解类和方法的复杂度,从而优化结构,减少维护成本。 - **重复代码检测**:自动识别项目中的重复代码块,有助于提升代码复用性和一致性。 - **技术债务估算**:提供对修复问题所需工作量的估算,便于团队优先处理关键问题[^1]。 ### 安装与配置 Sonar 为了开始使用 Sonar 对 Java 项目进行质量分析,需要先安装并配置 SonarQube 服务器。以下是一个典型的 Maven 项目配置示例: ```xml <properties> <!-- Sonar服务器地址 --> <sonar.host.url>http://localhost:9000</sonar.host.url> <!-- Sonar登录用户的token --> <sonar.token>squ_e0deb965101233da5a90dbcd86220XXXXXXXXX</sonar.token> </properties> ``` 此外,还需要确保本地环境已正确设置 JDK 和 Maven,并且 SonarQube 服务正在运行[^3]。 ### 集成到开发流程 将 Sonar 集成到持续集成/持续部署 (CI/CD) 流程中可以自动化执行代码质量检查。对于 Jenkins 用户,可以通过插件轻松实现这一点;而对于 GitHub Actions 或其他 CI 工具,则通常也有相应的官方或社区提供的解决方案。 ### 最佳实践 - **定期更新规则集**:保持 Sonar 规则库的最新状态以适应新的安全威胁和技术变化。 - **自定义规则**:根据组织内部的标准定制特定规则,这有助于统一编码风格并强化安全性要求。 - **结合单元测试覆盖率**:利用 JaCoCo 等工具收集测试覆盖率数据并与 Sonar 结合展示,全面评估代码健康状况。 - **实施质量门禁**:设定明确的质量门槛,在构建过程中强制要求达到一定标准才能通过,这样可以在早期阶段阻止低质量代码进入生产环境[^1]。 ### 社区和支持 如果遇到任何问题或者想要深入了解高级特性,建议查阅 [Sonar 官方文档](https://docs.sonarqube.org/) 获取详细信息。活跃的社区论坛也是获取帮助的好地方,那里有来自全球的经验丰富的开发者分享他们的知识和经验。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值