搭建Sonarqube 代码质量扫描环境

网友投稿 908 2023-06-13

搭建Sonarqube 代码质量扫描环境

搭建Sonarqube 代码质量扫描环境

最近在给公司搞代码质量管理,因为之前出了线上事故,以前都没人关注的,代码风格五花八门,尤其是前端代码,因为最新的 TypeScript 是支持类型注释的,而很多前端程序员使用 JS 时间比较长,一下子适应不过来,写代码时不做类型检查、不做异常判断,把 BUG 都抛给浏览器,这就导致项目可靠性差、安全度低、可维护性极差。因此借着这个机会,把祖传代码也规范一下。

搭建 sonarqube 云端扫描环境

sonarqube 新版本不再支持 MySQL 数据库,需要使用 postgresql 数据库,我们主要使用 bitnami 维护的镜像,这些镜像更新比较及时,而且长期维护,尤其是 sonarqube 和 Jenkins,下面我们就使用 docker 镜像来按照 postgresql 和 sonarqube。

安装postgresql数据库

docker run -d --name postgresql --restart=always -p 5432:5432 -e ALLOW_EMPTY_PASSWORD=yes -e POSTGRESQL_USERNAME=bn_sonarqube -e POSTGRESQL_DATABASE=bitnami_sonarqube bitnami/postgresql:13

安装sonarqube

docker run -d --name sonarqube -p 9000:9000 -e ALLOW_EMPTY_PASSWORD=yes -e SONARQUBE_DATABASE_HOST=192.168.10.213 -e SONARQUBE_DATABASE_PORT_NUMBER=5432 -e SONARQUBE_DATABASE_USER=bn_sonarqube -e SONARQUBE_DATABASE_NAME=bitnami_sonarqube bitnami/sonarqube:9

如果sonarqube启动失败,报错信息中包含max_map_count,可以通过调整系统文件数来修改:

vi /etc/sysctl.conf# 文件最后加上如下内容vm.max_map_count = 262144

配置工程扫描

使用 bitnami 搭建的 sonarqube 默认账号密码:admin/bitnami,访问 localhost:9000,登录后创建新的工程

填写工程名,并创建令牌,令牌名称建议和工程名相同

生成的令牌ID一定要复制下来,不会再显示第二次,如果没记下就需要重新生成,切记

选择扫描的语言和执行扫描的机器,然后记下生成的扫描命令,执行完扫描后这个页面将自动变为结果页面

下载配置 sonar-scanner

在上面的截图中会有 sonar-scanner 扫描器访问地址,打开以后,根据需求下载对应系统的文件

本来扫描器也是有 docker 镜像可以用的,但是 sonar-scanner 非常简单,基本无需依赖,下载后即可使用,所以我们也就不需要搞 docker 镜像来使用了。我这里使用 Linux 系统下的版本。

执行以下命令配置好 sonar-scanner 的扫描环境:

tar -xvf sonar-scanner-4.6.2.2472-linux.tarmv sonar-scanner-4.6.2.2472-linux /usr/localln -s /usr/local/sonar-scanner-4.6.2.2472-linux/bin/sonar-scanner /usr/bin/sonar-scanner

扫描仓库代码

配置好扫描器后,我们就可以使用 sonar-scanner 来扫描我们的指定库代码了

下载代码

使用 git 命令将代码下载到和 sonar-scanner 在同一台机器上

执行扫描命令

进入到代码目录下,执行工程创建时提供给我们的扫描命令

执行结果如下

扫描命令中的参数解释:

projectKey: 我们创建项目时填的项目名称sources:扫描的目录,一般我们都是进入工程目录下进行扫描,如果在非根目录下执行扫描命令,还需要配合其他的参数才可以host.url:sonarqube 服务器地址login:创建项目时生成的令牌,但是也可以增加一个参数 password,通过用户名和密码进行扫描

在实际项目使用中,我们建议在项目根目录创建 sonar-project.properties 文件来配置扫描参数,以上扫描命令配置如下:

然后进入项目根目录,输入sonar-scanner 就可以了

忽略规则配置

每一种开发语言都有很多扫描规则,因此误报的可能性也很大,sonarqube 为我们提供了忽略规则的配置。打开项目规则配置:

忽略配置包括以下类型

排除指定目录:sonar.exclusions

排除public 下的所有文件及其子目录下的文件

包含指定目录:sonar.inclusions

只扫描src目录下的文件

不需要检测重复代码的文件:sonar.cpd.exclusions

不检查src/assets目录下的所有文件重复度

包含指定规则的文件不参与扫描:sonar.issue.ignore.allfile

文件中包含 sonarqube disable 字符串的文件不参与扫描,这样我们就可以对一些特殊文件进行排除,字符串由我们自己定义

指定的代码块不参与扫描:sonar.issue.ignore.block

从包含@layer的行到包含@endlayer的行之间的所有代码不进行扫描,对于一些误检或者我们不想改变的代码,可以自定义两个标记把他们包含起来,这样这些代码就不会参与扫描了

在指定文件中不检查某些规则:sonar.issue.ignore.multicriteria

项目目录下的所有ts文件不执行squid:S1195扫描规则

在指定文件中只检查某些规则:sonar.issue.enforce.multicriteria

在login/index.js文件中只检查javascript:S1195规则,不检查其他规则

以上配置是在sonarqube服务器上,我们更推荐另外一种方式,即在项目目录下 sonar-project.properties文件中进行配置,配置如下:

VSCode配置 sonarlint 扫描

上面安装配置好了Sonarqube以后,我们还可以安装sonarlint插件进行编程支持,这个插件的作用是在我们开发代码的过程中实时的显示当前编辑代码的异常情况,在插件中配置sonarqube服务器的作用是可以使用sonarqube服务器中的规则进行代码检查,并不是使用云端sonarqube进行代码检查。

安装 jre 运行环境

下载 JDK

java 11 以后没有单独的jre安装包,需要安装jdk,然后通过命令生成

安装 JDK

生成 Jre 目录

进入JDK安装目录C:\Program Files\Java\jdk-17.0.2,执行以下命令

bin\jlink.exe --module-path jmods --add-modules java.desktop --output jre

生成的 Jre 目录在 C:\Program Files\Java\jdk-17.0.2\jre

安装 sonarlint 并配置

在应用商店中搜索 SonarLint

选择在settings.json 中编辑

将以下信息配置在文件最下面:

serverUrl:sonarqube 的服务器地址token:上面使用的令牌projectKey:工程名sonarlint.ls.javaHome:jre的目录sonarlint.ls.vmargs:内存使用配置sonarlint.pathToNodeExecutable:node可执行文件路径配置

在我们的开发过程当中,推荐大家使用各种代码检查工具,对代码质量进行管理,这样可以帮我们避免很多低级的或者不合理的异常,尤其是对于经常出错的同学,这是一个养成良好代码书写习惯的很好方式。

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:MySQL5.7设置变量的几种方法
下一篇:这篇文章为你 Redis 知识面来个查漏补缺
相关文章