sonar入门

一、Sonar是什么?

根据我的了解,可以说Sonar包含三个部分:

  • SonarQube是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。其目的是对代码库的质量进行360°透视。 为此,它会定期分析项目的所有源代码行。SonarQube是保存分析结果的中心服务器。

  • SonarLint是一个Sonarl IDE插件,可以接收和连接SonrarQube对代码库扫描的结果从而通知Developer, SonarLint本身也可以基于一些规则对代码IDE中的代码进行即时的检测。

  • SonarScanner是分析并将结果发送到SonarQube。可以从 zip 文件运行 SonarScanner,也可以从从 Docker 镜像运行 SonarScanner。使用SonarScanner,测试人员不用安装java开发环境即可完成代码的分析。

image

二、为什么要使用Sonar?

Sonar是目前主流的自动静态扫描代码的工具。

Sonar (SonarQube)是一个开源平台,用于管理源代码的质量。Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。支持15种语言静态代码分析:Java、JavaScript、C#、TypeScript、Kotlin、Ruby、Go、Scala、Flex、Python、PHP、HTML、CSS、XML 和 VB.NET等。

Sonar可以发现语法特征错误、边界行为特征错误和经验特征错误这三类“有特征”的错误。能够以极低的成本发现以下问题:

  • 使用未初始化的变量;

  • 变量在使用前未定义;

  • 变量声明了但未使用;

  • 变量类型不匹配;

  • 部分的内存泄漏问题;

  • 空指针引用;

  • 缓冲区溢出;

  • 数组越界;

  • 不可达的僵尸代码;

  • 高的代码复杂度;

  • 死循环;

  • 大量的重复代码块;

三、Sonarqube环境搭建

1、安装jdk11

这是前提条件

2、安装和使用sonarqube

1、下载社区版sonarqube,直接解压

官网地址:https://www.sonarqube.org/downloads/

image

image

image

2、不自行搭建数据库,先使用sonarqube自带的数据库
image

需要注意:
内嵌数据库只能用于测试场景
内嵌数据库无法扩展,也无法升级到新版本的SonarQube,并且不能支持将你的数据迁移至其他数据库引擎。

3、运行sonar
进入到bin目录,使用管理员运行
image

image

4、访问http://localhost:9000
image

5、登录,默认用户和密码admin/admin
image

需要修改密码
image

6、添加项目
image

image

image

image

image

3、下载和配置SonarScanner

1、下载并解压缩适用于 Windows 的扫描仪:https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/

image

image

image

如果电脑下载特别慢,尝试使用手机下载,很快就下载完成
image

2、解压下载的文件,将bin目录添加到%PATH%环境变量中
image

image

四、遇到的问题

1、非管理员身份运行sonarqube失败

image

在windows系统怎么简单就怎么来吧,不使用命令行运行,直接界面运行。
image

2、Jdk版本不正确

运行sonarqube出现以下提示,需要使用jkd11

image

posted @ 2021-09-27 19:11  捷后愚生  阅读(2092)  评论(0编辑  收藏  举报