前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
社区首页 >专栏 >搭建 sonarqube 代码质量扫描环境

搭建 sonarqube 代码质量扫描环境

作者头像
星星在线
发布于 2022-04-27 08:15:48
发布于 2022-04-27 08:15:48
2.2K00
代码可运行
举报
运行总次数:0
代码可运行

最近在给公司搞代码质量管理,因为之前出了线上事故,以前都没人关注的,代码风格五花八门,尤其是前端代码,因为最新的 TypeScript 是支持类型注释的,而很多前端程序员使用 JS 时间比较长,一下子适应不过来,写代码时不做类型检查、不做异常判断,把 BUG 都抛给浏览器,这就导致项目可靠性差、安全度低、可维护性极差。因此借着这个机会,把祖传代码也规范一下。

搭建 sonarqube 云端扫描环境

sonarqube 新版本不再支持 MySQL 数据库,需要使用 postgresql 数据库,我们主要使用 bitnami 维护的镜像,这些镜像更新比较及时,而且长期维护,尤其是 sonarqube 和 Jenkins,下面我们就使用 docker 镜像来安装 postgresql 和 sonarqube。

安装postgresql数据库

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
docker run -d --name postgresql --restart=always -p 5432:5432 -e ALLOW_EMPTY_PASSWORD=yes -e POSTGRESQL_USERNAME=bn_sonarqube -e POSTGRESQL_DATABASE=bitnami_sonarqube bitnami/postgresql:13

安装sonarqube

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
docker run -d --name sonarqube -p 9000:9000 -e ALLOW_EMPTY_PASSWORD=yes -e SONARQUBE_DATABASE_HOST=192.168.10.213 -e SONARQUBE_DATABASE_PORT_NUMBER=5432 -e SONARQUBE_DATABASE_USER=bn_sonarqube -e SONARQUBE_DATABASE_NAME=bitnami_sonarqube bitnami/sonarqube:9

如果sonarqube启动失败,报错信息中包含max_map_count,可以通过调整系统文件数来修改:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
vi /etc/sysctl.conf

# 文件最后加上如下内容
vm.max_map_count = 262144

配置工程扫描

使用 bitnami 搭建的 sonarqube 默认账号密码:admin/bitnami,访问 localhost:9000,登录后创建新的工程

填写工程名,并创建令牌,令牌名称建议和工程名相同

生成的令牌ID一定要复制下来,不会再显示第二次,如果没记下就需要重新生成,切记

选择扫描的语言和执行扫描的机器,然后记下生成的扫描命令,执行完扫描后这个页面将自动变为结果页面

下载配置 sonar-scanner

在上面的截图中会有 sonar-scanner 扫描器访问地址,打开以后,根据需求下载对应系统的文件

本来扫描器也是有 docker 镜像可以用的,但是 sonar-scanner 非常简单,基本无需依赖,下载后即可使用,所以我们也就不需要搞 docker 镜像来使用了。我这里使用 Linux 系统下的版本。

执行以下命令配置好 sonar-scanner 的扫描环境:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
tar -xvf sonar-scanner-4.6.2.2472-linux.tar

mv sonar-scanner-4.6.2.2472-linux /usr/local

ln -s /usr/local/sonar-scanner-4.6.2.2472-linux/bin/sonar-scanner /usr/bin/sonar-scanner

扫描仓库代码

配置好扫描器后,我们就可以使用 sonar-scanner 来扫描我们的指定库代码了

下载代码

使用 git 命令将代码下载到和 sonar-scanner 在同一台机器上

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
cd /home/code

git clone git@gitee.com:small_bud_star/xxxxxx.git

执行扫描命令

进入到代码目录下,执行工程创建时提供给我们的扫描命令

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sonar-scanner \
  -Dsonar.projectKey=databoard \
  -Dsonar.sources=. \
  -Dsonar.host.url=http://10.10.8.252:9000 \
  -Dsonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e

执行结果如下

扫描命令中的参数解释:

  • projectKey: 我们创建项目时填的项目名称
  • sources:扫描的目录,一般我们都是进入工程目录下进行扫描,如果在非根目录下执行扫描命令,还需要配合其他的参数才可以
  • host.url:sonarqube 服务器地址
  • login:创建项目时生成的令牌,但是也可以增加一个参数 password,通过用户名和密码进行扫描

在实际项目使用中,我们建议在项目根目录创建 sonar-project.properties 文件来配置扫描参数,以上扫描命令配置如下:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sonar.host.url=http://10.10.8.252:9000
sonar.sources=.
sonar.projectKey=databoard 
sonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e

然后进入项目根目录,输入sonar-scanner 就可以了

忽略规则配置

每一种开发语言都有很多扫描规则,因此误报的可能性也很大,sonarqube 为我们提供了忽略规则的配置。打开项目规则配置:

忽略配置包括以下类型

  • 排除指定目录:sonar.exclusions

排除public 下的所有文件及其子目录下的文件

  • 包含指定目录:sonar.inclusions

只扫描src目录下的文件

  • 不需要检测重复代码的文件:sonar.cpd.exclusions

不检查src/assets目录下的所有文件重复度

  • 包含指定规则的文件不参与扫描:sonar.issue.ignore.allfile

文件中包含 sonarqube disable 字符串的文件不参与扫描,这样我们就可以对一些特殊文件进行排除,字符串由我们自己定义

  • 指定的代码块不参与扫描:sonar.issue.ignore.block

从包含@layer的行到包含@endlayer的行之间的所有代码不进行扫描,对于一些误检或者我们不想改变的代码,可以自定义两个标记把他们包含起来,这样这些代码就不会参与扫描了

  • 在指定文件中不检查某些规则:sonar.issue.ignore.multicriteria

项目目录下的所有ts文件不执行squid:S1195扫描规则

  • 在指定文件中只检查某些规则:sonar.issue.enforce.multicriteria

在login/index.js文件中只检查javascript:S1195规则,不检查其他规则

以上配置是在sonarqube服务器上,我们更推荐另外一种方式,即在项目目录下 sonar-project.properties文件中进行配置,配置如下:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sonar.host.url=http://10.10.8.252:9000
sonar.sources=.
sonar.projectKey=databoard 
sonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e
sonar.exclusions=public/**/*
sonar.issue.ignore.multicriteria=e1,e2
sonar.issue.ignore.multicriteria.e1.ruleKey=Web:ImgWithoutAltCheck
sonar.issue.ignore.multicriteria.e1.resourceKey=**/*
sonar.issue.ignore.multicriteria.e2.ruleKey=Web:BoldAndItalicTagsCheck
sonar.issue.ignore.multicriteria.e2.resourceKey=**/*

sonar.issue.ignore.block=e1,e2
sonar.issue.ignore.block.e1.beginBlockRegexp=@layer
sonar.issue.ignore.block.e1.endBlockRegexp=@layer
sonar.issue.ignore.block.e2.beginBlockRegexp=:deep
sonar.issue.ignore.block.e2.endBlockRegexp=:deep

VSCode配置 sonarlint 扫描

上面安装配置好了Sonarqube以后,我们还可以安装sonarlint插件进行编程支持,这个插件的作用是在我们开发代码的过程中实时的显示当前编辑代码的异常情况,在插件中配置sonarqube服务器的作用是可以使用sonarqube服务器中的规则进行代码检查,并不是使用云端sonarqube进行代码检查。

安装 jre 运行环境

  • 下载 JDK

java 11 以后没有单独的jre安装包,需要安装jdk,然后通过命令生成

https://www.oracle.com/java/technologies/downloads/

  • 安装 JDK
  • 生成 Jre 目录

进入JDK安装目录C:\Program Files\Java\jdk-17.0.2,执行以下命令

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
bin\jlink.exe --module-path jmods --add-modules java.desktop --output jre

生成的 Jre 目录在 C:\Program Files\Java\jdk-17.0.2\jre

安装 sonarlint 并配置

在应用商店中搜索 SonarLint

安装完后点击设置按钮,进入扩展设置

选择在settings.json 中编辑

将以下信息配置在文件最下面:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
"sonarlint.connectedMode.connections.sonarqube": [
    {
      "serverUrl": "http://10.10.8.252:9000",
      "token": "60f6c402242a93ba5982a1f9f4084937aba9fd5e"
    }
  ],
  "sonarlint.connectedMode.project": {
    "projectKey": "databoard" 
  },
  "sonarlint.ls.javaHome": "C:\\Program Files\\Java\\jdk-17.0.2\\jre",
  "sonarlint.ls.vmargs": "-Xmx1024m",
  "sonarlint.pathToNodeExecutable": "E:\\Program\\nodejs\\node.exe"
  • serverUrl:sonarqube 的服务器地址
  • token:上面使用的令牌
  • projectKey:工程名
  • sonarlint.ls.javaHome:jre的目录
  • sonarlint.ls.vmargs:内存使用配置
  • sonarlint.pathToNodeExecutable:node可执行文件路径配置

在我们的开发过程当中,推荐大家使用各种代码检查工具,对代码质量进行管理,这样可以帮我们避免很多低级的或者不合理的异常,尤其是对于经常出错的同学,这是一个养成良好代码书写习惯的很好方式。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-04-24,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 python爬虫实战之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
二级选择题(四)
p的地址本身和i的地址一样,所以*p代表i中的数值,而&j是j的地址,*&j就是j中的数值,所以,*p=*&j和i=j是等价的。
pigeon
2022/04/11
4170
二级选择题(三)
(1)有穷性:一个算法必须总是(对任何合法的输入值)在执行有穷步之后结束,且每一步都可在有穷时间内完成。
pigeon
2022/04/11
4430
二级选择题(二)
用C语言编辑的程序代码为源程序,C语言源程序的文件扩展名是”.C”。C语言编写的函数都可以作为一个独立的源程序文件,但是只有main函数可以单独进行编译,一个C语言程序只能有一个主函数。因此选项A、B、D叙述正确,选项C叙述错误。
pigeon
2022/04/11
9480
二级选择题
1、确定数据结构:根据任务书提出的要求、指定的输入数据和输出结果,确定存放数据的数据结构。
pigeon
2022/04/11
5090
二级Python选择题_二级python选择题题库
以下对Python程序设计风格描述错误的选项是: A Python中不允许把多条语句写在同一行 B Python语句中,增加缩进表示语句块的开始,减少缩进表示语句块的退出 C Python可以将一条长语句分成多行显示,使用续航符“\” D Python中不允许把多条语句写在同一行 正确答案: D
全栈程序员站长
2022/09/27
3.5K0
C语言运算符与表达式-学习四
1、设int a; float f; double d; 则表达式 10 + a + i*f 的值的数据类型是___。
XG.孤梦
2022/02/28
1K0
C语言运算符与表达式-学习四
【必读】C语言基础知识大全
C语言程序的结构认识 用一个简单的c程序例子,介绍c语言的基本构成、格式、以及良好的书写风格,使小伙伴对c语言有个初步认识。 例1:计算两个整数之和的c程序: #include main() { int a,b,sum; /*定义变量a,b,sum为整型变量*/ a=20; /*把整数20赋值给整型变量a*/ b=15; /*把整数15赋值给整型变量b*/ sum=a+b; /*把两个数之和赋值给整型变量sum*/ printf(“a=%d,b=%d,su
老九君
2018/03/06
6.3K0
【必读】C语言基础知识大全
面试题10(赋值运算符选择题)
下面代码运行后输出哪个值? public static void main ( String[ ] args ){ int x = 10; int y = 8; x+=y; System.
Java学习
2018/04/18
7990
面试题10(赋值运算符选择题)
全国二级C知识点总结5-函数
l C源程序是由函数组成的,函数由函数首部与函数体组成,函数体包括声明部分和执行语句部分组成。
用户6755376
2019/11/21
2.1K0
二级程序修改题1002
给定程序modi1.c中函数fun的功能是:从m个学生的成绩中统计出低于平均分的学生人数,此人数由函数值返回,aver返回平均分。
pigeon
2022/04/11
2450
C语言测试题
2. 假设已指定i为整型变量,f为float变量,d为double型变量,e为long型,有下面式子:
week
2018/08/27
1.4K0
全国二级C知识点总结4-指针
printf(“%d,%d,%d,%d\n”,m,n,*p,*q) ;
用户6755376
2019/11/21
9520
【真题】暑假备战CSP-J/S:NOIP2012提高组初赛(第一轮)试题及参考答案(PDF版、无水印可直接打印)
公众号内回复【NOIP2012S】即可获取下载链接,直接打印电子版让孩子做即可,文件包含
小码匠
2023/08/31
4110
【真题】暑假备战CSP-J/S:NOIP2012提高组初赛(第一轮)试题及参考答案(PDF版、无水印可直接打印)
2019二级C题库及解析(6)
12大于-34,第一个if语句的表达式成立,因此执行min=b; 执行后min中的值被更新为-34.
用户6755376
2020/06/04
3020
2019二级C题库及解析(10)
case相当于给出执行程序的入口和起始位置,若找到匹配的常量,则从此处开始往下执行程序,不再匹配常量,直至遇到break或switch结束
用户6755376
2020/06/16
3600
Golang精编100题
能力模型 级别模型初级 primary熟悉基本语法,能够看懂代码的意图; 在他人指导下能够完成用户故事的开发,编写的代码符合CleanCode规范;中级 intermediate能够独立完成用户故事的开发和测试; 能够嗅出代码的坏味道,并知道如何重构达成目标;高级 senior能够开发出高质量高性能的代码; 能够熟练使用高级特性,开发编程框架或测试框架; 选择题 【初级】 下面属于关键字的是() A. func B. def C. struct D. class 参考答案:AC 【初级】 定义一个
李海彬
2018/03/28
1.2K0
【真题】暑假备战CSP-J/S:NOIP2010普及组初赛(第一轮)试题及参考答案电子版(PDF版、无水印可直接打印)
公众号内回复:NOIP2010J,即可获取下载链接,直接打印电子版让孩子做即可,文件包含
小码匠
2023/08/31
4740
【真题】暑假备战CSP-J/S:NOIP2010普及组初赛(第一轮)试题及参考答案电子版(PDF版、无水印可直接打印)
全国二级C知识点总结7-编译预处理、文件
l int argc是命令行中的字符串数,char *argv[]是指向字符串的指针数组,系统使用空格把各个字符串隔开。
用户6755376
2019/12/18
7270
Python计算机二级模拟题,现在开始!
2016年开始人工智能大数据的火热引发了python学习的狂潮,也引发了全国计算机等级考试(National Computer Rank Examination,简称NCRE)的注意,NCRE赶紧趁热打铁弄个python计算机二级考试,众多网友一下子乐呵呵,总所周知python易学,面向对象和解释性的特性让编程不再困难,这几天恰逢计算机等级考试,我从python123网站弄了一套模拟题给大家做做,说不定你们做完后,马上端正态度摩拳擦掌跃跃欲试准备报考还说不定呢。
昱良
2019/08/23
2.4K0
Python计算机二级模拟题,现在开始!
【真题】暑假备战CSP-J/S:NOIP2010提高组初赛(第一轮)试题及参考答案(PDF版、无水印可直接打印)
公众号内回复【NOIP2010S】即可获取下载链接,直接打印电子版让孩子做即可,文件包含
小码匠
2023/08/31
3620
【真题】暑假备战CSP-J/S:NOIP2010提高组初赛(第一轮)试题及参考答案(PDF版、无水印可直接打印)
推荐阅读
相关推荐
二级选择题(四)
更多 >
LV.0
这个人很懒,什么都没有留下~
目录
  • 搭建 sonarqube 云端扫描环境
  • 安装postgresql数据库
  • 安装sonarqube
  • 配置工程扫描
  • 下载配置 sonar-scanner
  • 扫描仓库代码
  • 下载代码
  • 执行扫描命令
  • 忽略规则配置
  • VSCode配置 sonarlint 扫描
  • 安装 jre 运行环境
  • 安装 sonarlint 并配置
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
查看详情【社区公告】 技术创作特训营有奖征文