SonarQube使用手册

╰半橙微兮° 2022-10-23 04:55 142阅读 0赞

## 一、简介 ##

SonarQube是一种自动代码审查工具，可检测代码中的错误，漏洞和不优雅的地方。我们知道`alibaba/p3c`也是一款优秀的代码规范检查工具，但是其更倾向于开发人员编程时进行实时规范检查，SonarQube则更方便于开发团队进行整体代码审查，规范管理。

## 二、安装SonarQube服务 ##

#### 1.下载安装包 ####

SonarQube官方下载页面[https://www.sonarqube.org/downloads/][https_www.sonarqube.org_downloads]，这里我们下载免费的社区版：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left]

> （经过验证，SonarQube 7.9开始需要Java 11且不支持mysql了，所以这里我们选择`7.8`版本进行下载）

我们把页面拉到最下面，选择**Historical Downloads**

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 1]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 2]  
下载完成后得到一个压缩包，解压到我们平时的安装程序目录即可

#### 2.汉化 ####

由于低版本SonarQube自带的插件商店没有对应的汉化版本，这里我们自己下载汉化插件。

下载地址[https://github.com/xuhuisheng/sonar-l10n-zh/releases][https_github.com_xuhuisheng_sonar-l10n-zh_releases]，下载下方的jar包即可  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 3]  
下载完成之后，我们将这个jar包放入SonarQube的安装目录下的`extensions\plugins`文件夹中即可。

#### 3.创建SonarQube数据库 ####

由于SonarQube默认使用的内嵌数据库H2，这种不适应于生产环境，所以我们替换成mysql数据库，首先创建一个名为sonar的数据库，然后在SonarQube的配置文件`conf\sonar.properties`中添加如下配置：  
![在这里插入图片描述][2021031814314187.png_pic_left]

# 数据库连接信息
    sonar.jdbc.url=jdbc:mysql://localhost:3306/sonar?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance
    sonar.jdbc.username=root
    sonar.jdbc.password=root
    sonar.sorceEncoding=UTF-8
    # SonarQube的web页面登录信息
    sonar.login=admin
    sonar.password=admin

至此，SobarQube的配置已经完成，这时候我们启动`bin\windows-x86-64\StartSonar.bat`即可（不同的系统平台执行相应的启动脚本）。或者可以执行此目录中的`InstallNTService.bat`脚本将SonarQube安装成系统服务，这样就可以直接在服务中管理了。

启动完成后，我们访问`http://localhost:9000`，输入配置的登录账号信息，即可进入到SonarQube web页面。

**注：**  
执行`StartSonar.bat`脚本启动SonarQube后，如果不小心关闭了控制台，其实这个时候SonarQube并没有被关闭，后台还有进程在，所以下次启动时会报错，这个时候就要手动杀掉进程了。

## 三、在SonarQube中创建第一个测试项目 ##

1.在SonarQube页面选择创建项目

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 4]  
2.输入项目标识和显示名称  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 5]

3.然后点击创建令牌  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 6]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 7]  
这个时候我们要把这个令牌复制下来，因为后面就看不到了

4.下面选择项目的主要语言以及构建技术  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 8]

这里项目就已经创建好了，然后可以通过不同的质量检测方式将结果推送到这个项目里来。

## 四、使用 ##

下面将通过三种方式来使用SonarQube的代码扫描功能：

> ① Maven方式执行代码检测  
> ② SonarScanner方式执行代码检测  
> ③ 集成Jenkins执行代码检测

#### 1.集成maven执行代码扫描 ####

创建完项目后，我们选择maven方式构建，即可看到SonarQube给我们提供的maven扫描命令

mvn sonar:sonar \
     -Dsonar.projectKey=test \
     -Dsonar.host.url=http://localhost:9000 \
     -Dsonar.login=7a13de184fe9d79c59e24062d0065bd87b7064e9

进入到要扫描的代码目录，执行上面的maven命令即可，执行完毕后在SonarQube页面即可看到扫描结果。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 9]![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 10]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 11]

**注：**  
上面的命令中有些是固定的信息，如果每次执行扫描都需要输入则显的很麻烦，这里我们可以将某些信息配置到maven的`setting.xml`中

<profile>
      <id>sonar</id>
      <activation>
    	<activeByDefault>true</activeByDefault>
      </activation>
      <properties>
    	<sonar.host.url>http://127.0.0.1:9000</sonar.host.url>
    	<sonar.login>7a13de184fe9d79c59e24062d0065bd87b7064e9</sonar.login>
      </properties>
    </profile>

以后直接执行`mvn sonar:sonar -Dsonar.projectKey=test`即可。甚至`mvn sonar:sonar`都可以，SonarQube会自动以maven的坐标为项目key去创建项目。

#### 2.通过SonarScanner执行代码扫描 ####

SonarQube提供了SonarScanner组件来帮助我们执行扫描，首先下载[https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/][https_docs.sonarqube.org_latest_analysis_scan_sonarscanner]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 12]

下载之后是个压缩包，解压即可，为了方便使用，我们可以将解压后的目录下的bin目录加入到环境变量中，这样可以直接使用`sonar-scanner`命令了（这里不再介绍环境变量的配置）。

打开SonarScanner的配置文件`conf\sonar-scanner.properties`，做如下修改：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70]

进入到待扫描的项目目录下，新建`sonar-project.properties`文件，内容如下：

sonar.projectKey=test
    sonar.projectName=test
    #sonar.projectVersion=1.0
    #sonar.sources=./src
    sonar.sourceEncoding=UTF-8
    #sonar.language=java
    sonar.java.binaries=.

然后再命令行执行`sonar-scanner`即可。

#### 3.集成Jenkins执行代码扫描 ####

Jenkins作为一个开源的、提供友好操作界面的持续集成(CI)工具，广受大家的喜爱，Jenkins提供了SonarQube扫描插件可以方便的让我们直接扫描代码仓库中的代码质量，而前两种方式更偏向于开发人员本地去做，更依赖开发人员的自觉性，而使用Jenkins的方式则更方便对整个团队进行 Code Review，更方便的进行规范管理。

①.首先需要安装SonarQube Scanner插件，`系统管理 > 插件管理`，搜索`SonarQube Scanner`插件并安装；安装后进入到`系统管理 > 系统配置 > SonarQube servers`，添加SonarQube服务器

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 13]

②.点开高级，添加固定配置信息  
![在这里插入图片描述][20210318152630446.png]

保存并应用。至此，Jenkins配置完毕。

③.现在我们新建一个任务测试一下：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 14]

④.然后输入代码仓库地址，  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 15]

⑤.然后选择构建步骤，  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70 1]

⑥.然后添加如下构建参数，  
![在这里插入图片描述][20210318152943531.png]

最后保存即可。

这样我们当我们执行Jenkins的立即构建后即可在SonarQube上面看到扫描结果。

## 附 ##

SonarQube默认支持匿名推送检测结果，即不需要传递令牌即可推送到SonarQube服务器，这样很不安全，我们用下面的方式关掉匿名推送的通道：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70 2]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70 3]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70 4]

[https_www.sonarqube.org_downloads]: https://www.sonarqube.org/downloads/
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left]: /images/20221022/452e6ccad28e4923bd49f6b7a41a7990.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 1]: /images/20221022/577e6e6a46914c26849329a77e3fc57d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 2]: /images/20221022/3a700895698546b483c40b9e1b97c842.png
[https_github.com_xuhuisheng_sonar-l10n-zh_releases]: https://github.com/xuhuisheng/sonar-l10n-zh/releases
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 3]: /images/20221022/831eead4074d4c119c0bc1e4d3b070fa.png
[2021031814314187.png_pic_left]: /images/20221022/d225006267cd41218d4c08e93b071907.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 4]: /images/20221022/f740b1cb42524600a71e67751778ad13.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 5]: /images/20221022/923d7dd9811749e6ad60125d55e66bc5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 6]: /images/20221022/4b0f67319b8848e6ad6aaf488bcafded.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 7]: /images/20221022/d9f0240dbe214342bcf96ddad7eaeff5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 8]: /images/20221022/3816e0425dc049fba6213970d63126a1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 9]: https://img-blog.csdnimg.cn/20210318144907779.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc=,size_16,color_FFFFFF,t_70#pic_left
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 10]: /images/20221022/a68ccffe3cae44978d244e2339fc1f74.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 11]: /images/20221022/70fb2fd830b24256ba06c36beb00b66a.png
[https_docs.sonarqube.org_latest_analysis_scan_sonarscanner]: https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 12]: /images/20221022/68b769bc3b4c4f52a286ad2f3e8d4563.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70]: /images/20221022/e701df3e51434496b2c685e01458b644.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 13]: /images/20221022/ead62a5ba6b14730a197111409211274.png
[20210318152630446.png]: /images/20221022/ad783c2b6e25455c81cc970087a965c7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 14]: /images/20221022/0899fa73ad4d4faeb69d6be2a1343b15.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70_pic_left 15]: /images/20221022/0ec6c477151946799d0de472d157336e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70 1]: /images/20221022/9d7f841f07644b85b7616db5cf2ffb63.png
[20210318152943531.png]: /images/20221022/474a42f9f9054ea5b2c537949b29158a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70 2]: /images/20221022/9847f00b549f4c008075a9120455137e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70 3]: /images/20221022/9056943a12d84114aa5ecd9b6f6e348a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc_size_16_color_FFFFFF_t_70 4]: https://img-blog.csdnimg.cn/202103181512079.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2JhY2tidWc=,size_16,color_FFFFFF,t_70