sonarqube代码审核

最新推荐文章于 2022-11-30 15:16:28 发布
最新推荐文章于 2022-11-30 15:16:28 发布
阅读量790 收藏
点赞数
分类专栏: 容器化部署 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mtsunbw/article/details/112275051
版权
本文介绍了如何使用Docker搭建SonarQube平台,包括配置PostgreSQL数据库,安装SonarQube,设置汉化包,解决max_map_count报错问题,以及连接和使用SonarQube进行代码质量检测。此外,还展示了通过GitLab CI/CD配置SonarScanner进行自动化代码检测。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考链接: https://blog.youkuaiyun.com/cyfblog/article/details/97535868

SonarQube简介

  • SonarQube是一个开源的平台,以执行与代码的静态分析,自动审查,可以检测在25+的编程语言如Java、C#、JavaScript、TypeScript、C/C++、COBOL等的代码缺陷和安全漏洞。

Sonar检测维度

Sonar可以从七个维度进行代码质量检测,我们可以根据不同维度的严重性然后根据我们的经验做出相应的代码优化。

  • 代码规范
    Sonar可以通过PMD、CheckStyle、Findbugs等代码规则检测工具来检测我们代码是否符合代码规范;
  • 潜在的缺陷
    Sonar可以通过PMD、CheckStyle、Findbugs等代码规则检测工具来检测我们代码是否有代码缺陷(比如空指针是否有判断、IO流是否有关闭等);
  • 糟糕的复杂度分布
    文件、类、方法等,如果复杂度过高将难以改变,这会使得开发人员难以理解它们 且如果没有自动化的单元测试,对于程序中的任何组件的改变都将可能导致需要全面的回归测试
  • 重复代码
    程序中包含大量复制粘贴的代码是质量低下的,sonar可以展示源码中重复严重的地方
  • 注释的检测
    没有注释将使代码可读性变差,特别是当不可避免地出现人员变动时,程序的可读性将大幅下降 而过多的注释又会使得开发人员将精力过多地花费在阅读注释上,亦违背初衷
  • 单元测试
    sonar可以很方便地统计并展示单元测试覆盖率
  • 糟糕的设计
    通过sonar可以找出循环,展示包与包、类与类之间相互依赖关系,可以检测自定义的架构规则 通过sonar可以管理第三方的jar包,可以利用LCOM4检测单个任务规则的应用情况, 检测耦合。

docker搭建Sonar server:

使用postgresql数据库
  • 搭建postgresql
docker run -d -p 5432:5432 --name postgresql --restart=always -e POSTGRES_USER=sonar -e POSTGRES_PASSWORD=sonar postgres
  • 重新构建sonar镜像,下载汉化包
FROM sonarqube
ADD sonar-l10n-zh-plugin-8.6.jar /opt/sonarqube/extensions/plugins/
启动Sonar server
docker run -d -p 9000:9000 --name sonar --link postgresql:postgresql --restart=always -e SONARQUBE_JDBC_URL=jdbc:postgresql://postgresql:5432/sonar -e SONAR_JDBC_USERNAME=sonar -e SONAR_JDBC_PASSWORD=sonar sonarqube:zh_CN

  • sonar.jdbc.username=sonar #数据库配置,Name&&Passwd

  • sonar.jdbc.password=sonar

  • 解决报错

max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
  • 解決方法:
sudo  vim /etc/sysctl.conf 

#追加内容:
vm.max_map_count=655360
#执行:
sysctl -p
> vm.max_map_count = 655360
连接SonarQube

http://192.168.10.186:9000
登录:
USER:admin
Passwd:admin
首次登陆修改密码:××××××
在这里插入图片描述

sonarqube使用:

项目测试
[root@CentOS-7-Docker ~]# ls 
tests-project-java
从Docker镜像运行SonarScanner
#新建vim myproject.sh文件
vim myproject.sh

#!/bin/sh
#要使用SonarScanner Docker映像进行扫描,请使用以下命令:
docker run -d \
       --rm \
       -e SONAR_HOST_URL=http://192.168.10.186:9000 \  
       -e SONAR_LOGIN="a319b5f7f2143901a6db2c835dd5acbdde5dfc62" \
       -v /root/tests-project-java:/usr/src \
       sonarsource/sonar-scanner-cli \
       -Dsonar.projectKey=myproject \
       -Dsonar.sources=src \
       -Dsonar.language=java \
       -Dsonar.java.binaries=.
       
[root@CentOS-7-Docker ~]# ls 
tests-project-java  myproject.sh
  • 指令说明
  • docker 指令:
    -v /root/tests-project-java:/usr/src #将项目目录映射到插件动作路径以进行检测
    --e SONAR_HOST_URL #指定sonarqube地址
    -e SONAR_LOGIN #指定为用户生成的令牌
    在这里插入图片描述
  • scanner指令:
    sonarsource/sonar-scanner-cli #运行SonarScanner插件的镜像
    -Dsonar.projectKey #指定项目的Key 检测完成后可以以Key作为检测完成的项目的名称(必须指定且唯一)
    -Dsonar.sources #指定需要分析的源码的目录,多个目录用英文逗号隔开
    -Dsonar.sourceEncoding=UTF-8 #源代码的编码。默认为默认系统编码
检测完成

在这里插入图片描述

docker compose参考:

version: '3'

services:
  db:
    image: postgres:12
    container_name: postgresql
    environment:
      POSTGRES_USER: sonar
      POSTGRES_PASSWORD: sonar
    volumes:
      - "./postgresql:/var/lib/postgresql"
    ports:
      - "5432:5432"
  sonarqube:
    image: sonarqube:8-community
    container_name: sonarqube
    depends_on:
      - db
    environment:
      SONAR_JDBC_URL: jdbc:postgresql://db:5432/sonar
      SONAR_JDBC_USERNAME: sonar
      SONAR_JDBC_PASSWORD: sonar
    volumes:
      - "./sonarqube/data:/opt/sonarqube/data"
      - "./sonarqube/extensions:/opt/sonarqube/extensions"
      - "./sonarqube/logs:/opt/sonarqube/logs"
      - "./sonarqube/temp:/opt/sonarqube/temp"
    ports:
      - "9000:9000"
  • 安装汉化插件
    在这里插入图片描述

gitlab-runner配置

  • 新建一个runner用来运行.gitlab-ci.yml
Please enter the gitlab-ci coordinator URL (e.g. https://gitlab.com/):
https://192.168.10.186    #gitlab地址
Please enter the gitlab-ci token for this runner:
XYJzuykzsBCtKTxpF6KQ    #项目runner令牌
Please enter the gitlab-ci description for this runner:
[9160067e9705]:sonar-scanner   #runner描述
Please enter the gitlab-ci tags for this runner (comma separated):
sonar-200   #标签
Registering runner... succeeded                     runner=XYJzuykz
Please enter the executor: docker-ssh+machine, kubernetes, shell, virtualbox, docker+machine, parallels, ssh, custom, docker, docker-ssh:
docker   #指定用来执行的命令
Please enter the default Docker image (e.g. ruby:2.6):
sonarsource/sonar-scanner-cli   #指定可执行的镜像
Runner registered successfully. Feel free to start it, but if it's running already the config should be automatically reloaded!
  • .gitlab-ci.yml
stages:
  - sonar
  - build
  - deploy

cache:
  paths:
    - node_modules/

variables:
  PORT: "7090"
  PREPRED_DOMAIN: "twww"
  PRED_DOMAIN: "dwww"
  PROD_DOMAIN: "www"
  KUBECONFIG: /etc/deploy/config
  LAN_REPO: registry-vpc.cn-beijing.aliyuncs.com
  WAN_REPO: registry.cn-beijing.aliyuncs.com
  DEV_REPO:  qianjia_dev
  PRED_REPO: qianjia_pred
  PROD_REPO: qianjia_prod
  SONAR_HOST_URL: "http://192.168.10.186:9000"

#代码检测
sonar_check_job:
  image: registry.cn-beijing.aliyuncs.com/qianjia2018/qianjia_public/sonar-scanner:4.5
  stage: sonar
  before_script:
    - CONTAINER_NAME=`echo $CI_PROJECT_NAME | tr 'A-Z' 'a-z'| tr '_' '-'`
  script:
    - sonar-scanner -Dsonar.login=admin -Dsonar.password=admin -Dsonar.projectName=$CONTAINER_NAME  -Dsonar.projectKey=$CONTAINER_NAME -Dsonar.projectVersion=1.0 -Dsonar.sources=. -Dsonar.language=js -Dsonar.java.binaries=.
  allow_failure: true
  tags: 
    - sonar-scanner
  only:
    - dev
    
#项目构建
build_push_image_dev_job:
  image: registry-vpc.cn-beijing.aliyuncs.com/qianjia2018/qianjia_public:mvn-docker-kube
  stage: build
  before_script:
    - docker login --username=$USERNAME --password=$PASSWORD registry-vpc.cn-beijing.aliyuncs.com
    - CONTAINER_NAME=`echo $CI_PROJECT_NAME | tr 'A-Z' 'a-z'| tr '_' '-'`
    - TAG=`expr substr $CI_COMMIT_SHA 1 8`
  script:
    - docker build -t $LAN_REPO/$DEV_REPO/$CONTAINER_NAME:$TAG -f Dockerfile-dev .
    - docker push $LAN_REPO/$DEV_REPO/$CONTAINER_NAME:$TAG
  tags:
    - k8s
  only:
    - dev
  when: on_success

#项目部署
deploy_to_dev_job:
  stage: deploy
  before_script:
    - CONTAINER_NAME=`echo $CI_PROJECT_NAME | tr 'A-Z' 'a-z'| tr '_' '-'`
    - TAG=`expr substr $CI_COMMIT_SHA 1 8`
  script:
    - bash ~/.local/bin/f200.sh  $CONTAINER_NAME  $PORT  80  $WAN_REPO/$DEV_REPO/$CONTAINER_NAME:$TAG  guojia  192.168.10.200
  tags:
    - ssh-deploy
  only:
    - dev
  when: on_success
  • 代码检测脚本说明:
    -Dsonar.host.url=http://192.168.10.186:9000 #sonar 要用的 ip 和端口
    -Dsonar.sourceEncoding=UTF-8 #源代码编码
    -Dsonar.login=admin #登录用户名及密码
    -Dsonar.password=admin
    -Dsonar.projectKey= #指定项目的Key 检测完成后可以以Key作为检测完成的项目的名称(必须指定且唯一)
    -Dsonar.sources #指定需要分析的源码的文件位置,多个目录用英文逗号隔开
    -Dsonar.language=js #语言
    -Dsonar.projectVersion=1.0 #项目版本
    -Dsonar.java.binaries=. #target
8、jenkins项目代码审查-SonarQube代码审查
Daniel
03-28 302
SonarQube是一个用于管理代码质量的开放平台,可以快速的定位代码中潜在的或者明显的错误。目前支持java,C#,C/C++,Python,PL/SQL,Cobol,JavaScrip,Groovy等二十几种编程语言的代码质量管理与检测。
jenkins+ SonarQube代码质量测试)从gitlab拉取若依代码进行检测
最新发布
zero_open的博客
05-06 2320
SonarQube支持多种开发语言,包括但不限于Java、Python、PHP、JavaScript、CSS、C、C++、Go等,可以检测出重复代码代码漏洞、代码规范和安全性漏洞等问题。其检测范围涵盖了从细微的样式选择到设计错误等多个方面,可以确保代码可靠性,减少技术债务。SonarQube具有多种功能特性,例如能够结合静态和动态分析工具,持续扫描项目的代码质量;与用户的开发工作流程集成,实现跨项目分支和拉取请求的持续代码检查;提供项目代码质量报告,使开发人员能够更清楚地了解代码的健康状况。
SonarQube代码审核详细过程
桃花飞绿水
06-20 2899
公司uat部署之前需要代码审核问题和注释量等,一般是通过SonarQube+xshell+xftp来实现,以下是详细步骤:1、把idea里文件的src代码export出来,打成zip压缩文件2、SonarQube网址:http://10.19.150.156:9000/sessions/new,登陆账号进入3、打开xshell 5,登陆账号密码,首页会直接打开一个会话框:创建会话连接,主机输入测试...
SonarQube代码审查
Aizen_Sousuke的博客
08-06 385
Linux安装SonarQube 7.9之后不在支持mysql 安装mysql数据库,创建sonar数据库 解压sonarqube-9.0.0.45539.zip 安装unzip yum install unzip 解压 unzip sonarqube-9.0.0.45539.zip 重命名 mv /sonarqube-9.0.0.45539 /sonar 修改权限(sonar以root启动会报错) 创建sonar用户 useradd sonar 更改sonar目录及文件权限
Jenkins - sonarqube 代码审查
北海牧野
07-23 466
Jenkins - SonarQube 代码审查一、安装部署 SonarQube1、全部搭建在 jenkins 主机,环境要求安装 JDK1.8安装 Mysql,并创建 SonarQube 数据库、用户安装 SonarQube2、修改 sonar 配置文件3、修改 ElasticSearch 所需要的文件描述符 、虚拟内存4、启动 sonarQube二、 实现代码审查1、访问 sonar2、生成一个 token 编码,token编码名字自定义3、jenkins 安装插件,设置 sonarQube三、非流水线
sonarqube 代码检查
weixin_30823227的博客
01-21 150
再好的程序员也会出bug,所以代码检查很有必要。今天就出一个简单的检查工具代替人工检查。 参考: http://www.cnblogs.com/qiaoyeye/p/5249786.html 环境及版本 jdk: 1.7 sonarqube:http://www.sonarqube.org/downloads/ 我这里使用 sonarqube-5.3.zip S...
Gradle进阶使用结合Sonarqube进行代码审查的方法
08-26
Gradle作为一个强大的构建工具,结合Sonarqube这样的静态代码分析平台,可以帮助开发者实现自动化代码审查,从而提升代码的可读性、可维护性和整体质量。本篇文章将深入探讨如何在Gradle项目中集成Sonarqube进行代码...
开源代码审查工具Sonarqube简单使用
Braycep的博客
04-13 6795
Your teammate for Code Quality and Code Security
Jenkins SonarQube代码审查
小妖666个人笔记
06-27 519
首先要在虚拟机上部署SonarQube https://yunan.blog.csdn.net/article/details/106978435 jenkins安装SonarQube Scanner插件 然后打开Global Tool Configuration 点击新增 点击保存 打开Configure System 然后在项目根目录下新建文件sonar-project.properties sonar.projectKey=com-web-yunan sonar.proj
sonarqube 自动代码审查
weixin_33881140的博客
02-14 226
1、docker 拉取sonarqube docker pull sonarqube    2、启动docker docker run -d --name sonarqube -p 9000:9000 sonarqube    3、然后打开http://192.168.4.10:9000(SonarQube服务器),输入账号:admin 密码:admin,即可...
SonarQube代码审查工具
代码缔造者的博客
09-11 6133
介绍 SonarQube ® 是一种自动代码审查工具,用于检测代码中的错误、漏洞和代码异味。它可以与您现有的工作流程集成,以支持跨项目分支和拉取请求的持续代码检查 安装 下载SnoarQube 版本:7.5 支持jdk1.8 https://binaries.sonarsource.com/Distribution/sonarqube/ 下载汉化包 SnoarQube 7+ https://github.com/xuhuisheng/sonar-l10n-zh 下载p3c 为修改分析规则服务的插件
Jenkins骚操作第七章sonarqube代码审查
HYMajor的博客
02-18 1547
文章目录一、sonarqube简介二、安装MYSQL 一、sonarqube简介 SonarQube是一个用于管理代码质量的开放平台,可以快速的定位代码中潜在的或者明显的错误。目前支持java,C#,C/C++,Python,PL/SQL,Cobol,JavaScrip,Groovy等二十几种编程语言的代码质量管理与检 测,底层使用elasticsearch作为代码检索工具 官网:https://www.sonarqube.org/ | 软件 服务器 版本 jdk 192.168.1
可持续化集成(十)之SonarQube代码审查
weixin_53998054的博客
07-12 1323
jenkins+SonarQube代码审查
代码质量检测-SonarQube
weixin_40559666的博客
11-30 1万+
SonarQube快速上手使用集成gitlab流水线控制
Sonar(代码质量审查)-快速上手
Just do it!
01-01 1239
引言  SonarQube 是一个开源的代码质量管理系统,可以实现代码质量的全面自动化分析与管理。这次主要想写一篇可以让新手快速上手的指南文章,关于代码质量管理的发展以及Sonar的优势、特性会另起文章详细说明。搭建Windows 下载并解压SonarQube [https://www.sonarqube.org/downloads/] 解压至: C:\sonarqube 启动SonarQube
部署SonarQube代码检测服务以及jenkins实现代码自动测试、自动部署
热门推荐
eagle89的专栏
11-19 4万+
【摘要】 1.SonarQube部署前的内核参数等配置以及java环境配置1)修改内核参数配置,使满足环境要求[ root@sonarqube ~]# vim /etc/sysctl.conf vm.max_map_count=262144 fs.file-max=65536 [root@sonarqube ~]# sysctl -p #生效修改的内核参数…… vm.max_map_count ... 1.SonarQube部署前的内核参数等配置以及java环境配置 1)修改内核参数配置
Sonar原理、安装及配置
yuanxinghua33的博客
08-14 1868
什么是SonarSonar是一个用于代码质量管理的开源平台,用于管理代码的质量,通过插件形式可以支持二十几种语言的代码质量检测,通过多个维度的检查了快速定位代码中潜在的或者明显的错误。 它能做些什么呢? (1) 不遵循代码标准 SonarQube可以通过PMD,CheckStyle,Find bug s等等代码规则检测工具规范代码编写。 (2) 潜在的缺陷 SonarQube可以通过PMD,CheckStyle,Find bugs等等代码规则检测工具检 测出潜在的缺陷。 (3) 糟糕的复杂度分布 文件、
gitlab、Jenkins、Sonar集成
allensandy的博客
02-04 1341
目录 概述 jenkins中安装gitlab插件 jenkins中安装sonar插件 jenkins重启 jenkins中的相关配置 JDK配置 Maven配置 在gitlab中创建访问token 在jenkins中配置gitlab插件 在soanrQube中生成token 在jenkins中配置sonar插件 1、系统设置 2、全局工具配置 在jenkins中配置任务...
掌握SonarQube:提升代码质量管理的利器
4. 持续集成集成:通过插件与主流的持续集成工具集成,可以将SonarQube代码质量分析结果作为CI流程的一部分,确保每次代码提交都能得到质量审核。 5. 个性化报告和通知:SonarQube能够生成各种格式的报告,并支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值