sonarqube主要用于代码静态分析,用于检查代码存在的格式、bug、安全漏洞问题,同时也提供了复杂度、代码 行数等质量度量数据
代码静态分析:在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流 分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。
Sonarqube特性
1、易于安装,开箱即可启动
2、易于配置-所有配置可以通过其提供的web界面实现
3、可以与CI系统,例如jenkins完美集成
4、丰富的扫描规则,支持自定义,并可以集成findbugs,pmd,checkstyle等插件
5、丰富的格式支持,可以扫描java\js\xml\jsp等多种格式
6、丰富的统计功能
7、支持违规的处理、分配等工作流
8、可以对违规进行确认,误报的违规一次确认后将不再统计在内
9、支持maven\ant\命令行等方式扫描
Sonarscanner的使用
在linux下进入工程目录执行:sudo /home/sonar-scanner-3.0.3.778-linux/bin/sonar-scanner
登录http://localhost:9000可以查看生成的报告数据
1、打开首页后,可以查看各个项目的概览情况,例如代码行数,违规数等
2、选择关注的项目,可以查看项目的具体情况,点击“问题”、“指标”、“代码”、“仪表盘”等可以查看更详细的信息
Sonarqube的使用
设置自定质量阀:
进入首页–质量阀—创建–添加条件–复杂度、覆盖率–选择项目
创建质量配置:
质量配置–创建–更多激活规则–批量修改–全部活动–选择文件
用户权限修改
配置–权限–用户–create user–输入用户信息
Sonarqube与jenkins的集成
配置Sonar Scanner :
登录jenkins后–系统管理–管理插件—搜索插件SonarQube Scanner for jenkins(2.7.1)–回到系统管理–全局工具配置—找到SonarQube Scanner—点击SonarQube Scanner安装—新增–填写配置
配置SonarQube:
登录jenkins后–系统管理–系统配置—SonarQube Services–add SonarQube–填写name URL token:在SonarQube中–配置–权限–用户–在用户的Tokens中输入名字–generate—拷贝生成的token粘到jenkins中
配置完成后,在jenkins中构建项目完成后,就能在SonarQube中看到分析结果