Sonarqube的搭建和使用入门

Posted 2023-04-04 hua_12369b

一、SonarQube的安装

Sonarqube的运行离不开数据库，按照官方建议，本文使用postgresql来作为其数据库。

docker run --name pgdb -e POSTGRES_USER=sonar -e POSTGRES_PASSWORD=sonar -e POSTGRES_DB=sonar -p 5432:5432 -v E:\\docker-volume\\postgresql\\data:/var/lib/postgresql/data -d postgres

由于Sonarqube依赖ELK的运行，默认情况下最大虚拟内存大小不足以支撑ELK的运行，所以我们需要调大虚拟内存的最大内存：

设置elk运行允许最大内存，否则sonarqube无法正常启动（适合windows Docker Desktop场景）

wsl -d docker-desktop
sysctl -w vm.max_map_count=262144
exit

然后，我们就可以运行sonarqube容器了：

docker run --name sq --link pgdb -e SONARQUBE_JDBC_USERNAME=sonar -e SONARQUBE_JDBC_PASSWORD=sonar -e SONARQUBE_JDBC_URL=jdbc:postgresql://pgdb:5432/sonar -p 9000:9000 -v E:\\docker-volume\\sonarqube\\data:/opt/sonarqube/data -v E:\\docker-volume\\sonarqube\\extensions:/opt/sonarqube/extensions -v E:\\docker-volume\\sonarqube\\logs:/opt/sonarqube/logs -d sonarqube

稍等几分钟后访问localhost:9000，初始账密为admin/admin，进入后会要求立即修改密码。

初始状态下，Sonarqube是英文的，如果需要汉化包，可以在config > marketplace里面搜索chinese汉化插件下载安装，也可以手动下载安装，从Releases · xuhuisheng/sonar-l10n-zh (github.com)下载汉化包放到extensions/downloads下面，重启sonarqube即可汉化，注意要下载和当前sonarqube相对应的汉化包，否则不兼容会导致不能使用。

然后重启sonarqube，docker restart sq即可看到汉化版本的sonarqube了。

PS：sonarqube官方的插件网址：SonarQube™ Plugins Index (sonarplugins.com)

二、手动创建和分析项目

2.1 方式一

点击项目，选择手动新建一个项目，自行输入显示名称、项目标识等，

手动新建一个项目
选择手动分析该项目，自定义一个令牌，一般写项目英文名称即可，方便记忆和查找，然后按照步骤走，就会出现如下界面。

手动分析一个项目
然后到本地项目目录下，执行如上红框中的命令：

mvn clean verify sonar:sonar -Dsonar.projectKey=activity-manage -Dsonar.host.url=http://localhost:9000 -Dsonar.login=1e00f453302829b4c70584c925e88527fff29a32

执行完成后，再刷新Sonarqube界面，就能看到本次手动分析上传的结果了。

手动分析的项目结果

2.2 方式二

如果嫌弃上述方式比较麻烦，毕竟还要手动在sonarqube上创建项目，还可以通过如下方式进行：

修改本地maven的setting.xml，增加如下内容：

  <profile>
      <id>sonar</id>
      <activation>
          <activeByDefault>true</activeByDefault>
      </activation>
      <properties>
        <sonar.login>admin</sonar.login>
        <sonar.password>***</sonar.password>
        <sonar.host.url>http://localhost:9000</sonar.host.url>
      </properties>
    </profile>

然后在项目目录下执行mvn sonar:sonar命令，即可将项目分析结果上传到sonarqube上了。

2.3 方式三

该种方式适合没有Maven的场景，首先从官网上下载sonar-scanner扫描器，下载地址：SonarScanner | SonarQube Docs

然后在sonarqube的个人账户那边创建一个token：

sonarqube生成令牌
当前项目增加sonarqube的配置内容：sonar-project.properties

sonar.projectKey=java-cicd-test
sonar.projectName=java-cicd-test
sonar.projectVersion=1.0
sonar.sources=.
sonar.sourceEncoding=UTF-8
sonar.java.binaries=target/classes

然后在项目根目录下执行命令：

D:\\sonar-scanner\\sonar-scanner-4.7.0.2747-windows\\bin\\sonar-scanner.bat -Dsonar.login=54f0c382ef7c0b10f84f5d1c81de7070161d473f

即可对项目进行分析并将结果上传到sonarqube了。

三、使用sonarlint进行分析
IDEA安装sonarlint是免费的，提前安装好后其内置了默认的规则即可对项目进行扫描。但是如果需要让项目开发团队所有人的sonarlint具有相同的规则，就需要和sonarqube进行连接了。

在IDEA的File > settings > tools > sonarlint里面点击加号新建一个连接，填写信息如下：

sonarlint创建连接到sonarqube
然后下一步输入认证方式，我这里选择账户密码模式，输入自己sonarqube的账密保存即可，然后一路next直至finish。

刚才是新建连接，然后我们需要将IDEA中的当前项目和sonarqube上的项目进行绑定，所以首先我们得在sonarqube上新建一个项目，此处略过，参考上一步：

绑定当前项目到sonarqube上的某个项目
如此即可将sonarqube上设置的检查规则同步到IDEA的sonarlint上了，实现开发人员代码检查规则的一致性。

注意，sonarlint并不能将检查结果上传到sonarqube，想一想也能理解，每个开发人员的代码都可能不同，如果可以上传的话以谁的为准呢，而且开发人员IDEA中的代码是不稳地不可交付状态，扫描结果上传到sonarqube也没什么意义。可以参考：Bind to SonarQube or SonarCloud · SonarSource/sonarlint-intellij Wiki · GitHub

四、自定义检查规则

4.1 创建新的质量配置

从sonarqube的插件市场在线或者离线安装PMD、CheckStyle等代码检查插件，具体步骤在第一部分已经说过了。

然后质量配置 > 创建，填写新的质量配置内容如下：

新建质量配置
如果需要继承系统默认的检查规则，则上级可以选择默认的Sonar way。然后就进入该新的质量配置界面，可以看到左边规则面板上，所有规则都是未激活状态，此时我们就可以自定义需要激活哪些规则。

点击”更多激活规则“，在左侧面板中找到想要使用的PMD规则，然后点击”激活alibaba code guide“表示将该PMD的268条规则添加到我们自己新建的质量配置中，然后再将该质量配置设置为默认，以后扫描Java应用时就会使用该条质量配置了。

激活PMD规则

4.2 创建新的自定义检查规则

sonarqube还允许我们自己创建检查规则，比如检查类中是否存在作者信息、检查不允许出现某些敏感词等，这些规则是现有内置规则和其它插件规则中所没有的，使用场景比较少，后面有时间再研究。

五、其它配置

5.1 整合Gitlab

Sonarqube整合Gitlab主要就如下四个功能：

实现使用Gitlab账号免密登录sonarqube;
导入Gitlab中的项目到sonarqube中；
配合Gitlab CICD将sonarqube集成在流水线中对代码质量进行分析；
针对每次合并代码报告质量门禁和代码指标；
这些功能好像都没什么使用场景，特别是在如今Jenkins+Gitlab实现DevOps的情况下，后面有机会再研究，也可以参考官方的使用文档自行研究：

GitLab Integration | SonarQube Docs

5.2 整合Jenkins

可将sonarqube整合到Jenkins的Pipeline流水线中对代码质量进行分析，这块内容是现在DevOps的主流，将在后续《Jenkins+Gitlab搭建CICD流程进阶》中再详细介绍

十分钟搭建和使用sonarqube代码质量管理平台

前言

Sonarqube为静态代码检查工具，采用B/S架构，帮助检查代码缺陷，改善代码质量，提高开发速度，通过插件形式，可以支持Java、C、C++、JavaScripe等等二十几种编程语言的代码质量管理与检测。本文介绍如何快速安装、配置、使用Sonarqube及Sonarqube Scanner。

工作原理

Sonaqube-scanner:负责搜集代码相关数据 （可以理解为搜集端）

Sonarqube:负责对搜集的数据进行分析，通过不同的插件算法来对这些结果进行再加工，最终以量化的方式来衡量代码质量，最终展现给用户。

环境信息

IP	功能	软件	安装路径	操作系统
192.168.9.11	sonarqube服务端	jdk1.8.0_151,mysql5.7.21 sonarqube6.7	/usr/local/	centos7.5
192.168.9.12	sonarqube-scanner客户端	sonarqube-scanner3.2.0	d:/sonar	windows7

 

搭建步骤:(sever端安装jdk mysql过程略)

sonarqube的安装

wget  https://sonarsource.bintray.com/Distribution/sonarqube/sonarqube-6.7.ziunzip  sonarqube-6.7.zip -d /usr/local/useradd sonar
chown  -R  sonar.  /usr/local/sonarqube-6.7/

sonarqube配置文件修改

vim /usr/local/sonarqube-6.7/conf/sonar.properties 
sonar.web.host=0.0.0.0
sonar.web.port=9000
sonar.jdbc.url=jdbc:mysql:sonar.jdbc.driver==sonar=password

建立数据库 （在数据库中建立需使用的库）

mysql -u root -p
> CREATE USER %password> GRANT all privileges ON sonarqube.* TO sonar’@‘%password>> create database sonarqube;

启动及关闭

cd /usr/local/sonarqube-/bin/linux-x86-64
.//sonar.sh stop

通过浏览器登录查看，并使用缺省密码登录。（可以在“配置”项的“应用市场”中选择安装中文插件来支持中文，）

sonarqube-scanner的安装

1.下载sonar-scanner-3.2.0.1227-windows.zip并解压，将bin文件加入环境变量path中如我的路径D:sonarsonar-scannerin将此路径加入path中

 2.编辑配置文件conf/sonar-scanner.properties。根据数据库使用情况进行取消相关的注释即可,同时需要添加数据库用户名和密码信息，即配置要访问的sonar服务和mysql服务器地址

#Configure here general information about the environment, such as SonarQube server connection details for example
#No information about specific project should appear here

#----- Default SonarQube server
sonar.host.url=http://192.168.9.11:9000#----- Default source code encoding
#sonar.sourceEncoding=UTF-8sonar.jdbc.username=sonar
sonar.jdbc.password=passwordsonar.jdbc.url=jdbc:mysql://192.168.9.150:3306/sonarqube?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=false

3.编辑sonar-project.properties 放入需要扫描的project中（注意：同时要在sonarqube里添加对应的项目名称）

# must be unique in a given SonarQube instance
sonar.projectKey=saas_core
# this is the name and version displayed in the SonarQube UI. Was mandatory prior to SonarQube 6.1.
sonar.projectName=saas_core
sonar.projectVersion=1.0
 # Path is relative to the sonar-project.properties file. Replace "" by "/" on Windows.# This property is optional if sonar.modules is set. 
sonar.sources=saas_core
sonar.binaries=bin
sonar.language=java
sonar.java.binaries=D:sonarsaas_core
# Encoding of the source code. Default is default system encoding
#sonar.sourceEncoding=UTF-8

4.sonar-scanner执行扫描分析

sonar-scanner -X

以上分析执行后，会将分析数据上传至sonarqube，在sonarqube中分析完成后，就可以看到分析结果

 --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------