代码静态扫描工具sonar

一、SonarQube整体介绍

   SonarQube为静态代码检查工具,采用B/S架构,帮助检查代码缺陷,改善代码质量,提高开发速度,通过插件形式,可以支持Java、C、C++、JavaScripe等等二十几种编程语言的代码质量管理与检测。

   通过客户端插件分析源代码,sonar客户端可以采用IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式,并通过各种不同的分析机制对项目源代码进行分析和扫描,并把分析扫描后的结果上传到sonar的数据库,通过sonar web界面对分析结果进行管理

可以从七个维度检测代码质量:

(1)复杂度分布(complexity):代码复杂度过高将难以理解
(2) 重复代码(duplications):程序中包含大量复制、粘贴的代码而导致代码臃肿,sonar可以展示源码中重复严重的地方

(3) 单元测试统计(unit tests):统计并展示单元测试覆盖率,开发或测试可以清楚测试代码的覆盖情况
(4) 代码规则检查(coding rules):通过Findbugs,PMD,CheckStyle等检查代码是否符合规范
(5) 注释率(comments):若代码注释过少,特别是人员变动后,其他人接手比较难接手;若过多,又不利于阅读
(6) 潜在的Bug(potential bugs):通过Findbugs,PMD,CheckStyle等检测潜在的bug

(7) 结构与设计(architecture & design):找出循环,展示包与包、类与类之间的依赖、检查程序之间耦合度
二、SonarQube平台由四部分组成:

1、 SonarQubeServer

1) Web Server, 浏览质量的快照和配置sonarqube实例

2)SearchServer based on Elasticsearch, 执行来自页面的查询请求

3)Compute EngineServer ,处理代码分析报告并保存在sonarqube数据库

2、SonarQube Database :

 1) sonarqube实例的配置(安全、插件设置等)

2) 项目、视图等的质量快照。

3、SonarQube Plugins

语言、SCM、集成、身份验证和治理插件

一个或多个sonarqube Scanners运行分析项目

 

三、集成

下面是SonarQube与其他sonarqube ALM工具如何集成以及SonarQube各种组件在何处被使用。

1)开发者在IDE开发代码并使用sonarlint运行本地分析

2)开发者把代码提交到SCM工具中:git, SVN, TFVC, ...

3)持续集成服务器触发自动编译以及执行SonarQubeScanner

4)SonarQubeServer 处理分析报告

5)SonarQubeServer 处理并存贮分析报告到数据库里并在页面上显示处理结果.

6)开发者审查解决他们的问题,在页面管理问题

7)管理者获得分析报告
Ops 可以使用API从 SonarQube抽取数据
Ops 可以使用 JMX 监控 SonarQubeServer.

四、关于机器部署

1、只能有1个SonarQube Server 和1个 SonarQube Database

2、考虑性能优化,每一个组件(server, database, scanners)应当安装在不同的机器上,并且是专用服务器。

3、SonarQubeScanners 可以水平扩展机器

4、所有机器的时间必须要同步

5、SonarQube Server 和 SonarQube Database 必须在同一网段

6、SonarQubeScanners 与SonarQube Server可以不在同一网段

7、SonarQube Scanners 与 SonarQubeDatabase之间没有通信
五、机器配置要求

1、2G以上内存

2、oracle jre 8或者openjdk8

3、数据库:postgrepSQL 8/9, sql server2014/2016, oracle 11g/12c/XE,mysql5.6/5.7

4、web浏览器:IE11,firefox最新版、 chrome最新版,safari 最新版

5、如果使用linux平台,需要注意以下几点:

vm.max_map_count 大于等于 262144

fs.file-max 大于等于65536

运行 SonarQube 至少要打开 65536 个文件描述符

运行SonarQube 至少打开2048 个线程

可以使用如下命令检查:

sysctlvm.max_map_count

sysctlfs.file-max

ulimit -n

ulimit -u

可以使用root账户动态设置参数如下:

sysctl -wvm.max_map_count=262144

sysctl -wfs.file-max=65536

ulimit -n 65536

ulimit -u 2048

可以修改配置文件永久设置:

/etc/sysctl.d/99-sonarqube.conf (或者/etc/sysctl.conf )

如果SonarQube没有权限打开至少65536个描述符,可以在配置文件里(/etc/limits.d/99-sonarqube.conf (或者/etc/limits.conf ))插入一条如下信息:sonarqube  -   nofile   65536

        sonarqube   -  nproc    2048

6、seccomp filter设置

使用如下命令检查设置:

$ grep SECCOMP /boot/config-$(uname -r)

如果内核已设置,则返回如下信息:

CONFIG_HAVE_ARCH_SECCOMP_FILTER=y

CONFIG_SECCOMP_FILTER=y

CONFIG_SECCOMP=y

如果没有设置,需要修改配置文件sonar.properties,增加如下一行

sonar.search.javaAdditionalOpts=-Dbootstrap.system_call_filter=false
六、安装

1、https://www.sonarqube.org/downloads/下载目前稳定版本SonarQube 6.7.2 (LTS *)

2、使用unzip命令解压:
七、配置mysql数据库

1、mysql5.6/5.7(InnoDB.  innodb_buffer_pool_size, query_cache_size=15m)

2、修改配置文件/conf/sonar.properties

sonar.jdbc.url=jdbc:mysql://127.0.0.1:3306/sonar?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=false

sonar.jdbc.username=sonar

sonar.jdbc.password=sonar

3、建库

安装sonarqube

1、登陆MySQL创建sonar数据库和用户

mysql> CREATE DATABASE sonar DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

mysql> CREATE USER 'sonar' IDENTIFIED BY 'sonar';

mysql> GRANT ALL ON sonar.* TO 'sonar'@'%' IDENTIFIED BY 'sonar';

mysql> GRANT ALL ON sonar.* TO 'sonar'@'localhost' IDENTIFIED BY 'sonar';

mysql> FLUSH PRIVILEGES;

Query OK, 0 rows affected (0.00 sec)   
八、启动sonar

 # Windows,执行:

C:\sonarqube\bin\windows-x86-xx\StartSonar.bat

 # linux,执行:

/etc/sonarqube/bin/[OS]/sonar.shstart

通过浏览器访问:账号/密码(admin/admin)

 

http://localhost:9000/sonar

账号/密码:admin/admin

 
九、安装插件

通过web页面可以安装各种插件

http://localhost:9000/sonar/admin/marketplace

目前有如下插件:

参见网址:https://docs.sonarqube.org/display/PLUG

1、代码分析插件

SonarABAP *
    

home | docs & download
    

SonarPLSQL *
    

home | docs & download

SonarC#
    

home | docs & download
    

SonarPython
    

home | docs & download

SonarCFamily C/C++ *
    

home | docs & download
    

SonarRPG *
    

home | docs & download

SonarCFamily ObjC *
    

home | docs & download
    

SonarSwift *
    

home | docs & download

SonarCOBOL *
    

home | docs & download
    

SonarTS
    

home | docs & download

SonarFlex
    

home | docs & download
    

SonarTSQL *
    

home | docs & download

SonarJava
    

home | docs & download
    

SonarVB6 *
    

home | docs & download

SonarJS
    

home | docs & download
    

SonarVB *
    

home | docs & download

SonarPHP
    

home | docs & download
    

SonarWeb
    

home | docs & download

SonarPLI *
    

home | docs & download
    

SonarXML
    

home | docs & download

 

2、其他语言:CSS   Erlang     Groovy    Lua    Puppet

3、外部分析工具集成

AEM Rules 、Android Lint、Checkstyle 、Findbugs 、jDepend 、PMD 、Sonargraph 7、Sonargraph Integration 、Xanitizer

 

 
十、源代码静态分析

有以下几种方法:

1、SonarQube Scanner for MSBuild(分析.Net projects)

2、SonarQube Scanner for Maven(从Maven启动分析)

3、SonarQube Scanner for Gradle(从Gradle启动分析)

4、SonarQube Scanner for Ant(从Ant启动分析)

5、SonarQube Scanner For Jenkins(从jenkins启动分析)

6、SonarQube Scanner(从命令行启动分析)
十一、源代码静态分析Sonar-Scanner介绍

1、从网站下载sonar-scanner

https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner

2、安装

使用unzip命令展开

3、编辑配置文件/conf/sonar-scanner.properties:

sonar.host.url=http://localhost:9000

编辑配置文件/etc/profile 增加一行

exportSONAR_SCANNER_OPTS="-Xmx512m"

4、使用命令检查是否安装成功

./sonar-scanner-h
十二、编写工程模板,使用Sonar-Scanner开启代码静态扫描

1、代码扫描案例参见:

https://github.com/SonarSource/sonar-scanning-examples

2、具体案例说明

创建一个配置文件sonar-project.properties

内容如下:

sonar.projectKey=example1:project

sonar.projectName=Example1

sonar.projectVersion=1.0

sonar.sources=src

sonar.sourceEncoding=UTF-8

源文件放在src目录下

3、执行 ./sonar-scanner  开始扫描

4、在web页面可以看到扫描统计情况

http://localhost:9000/sonar

账号/密码:admin/admin

 

5、关于java代码扫描可以参见插件sonarjava说明

https://www.sonarsource.com/products/codeanalyzers/sonarjava.html

posted @ 2018-12-26 21:18  konglingbin  阅读(6750)  评论(0编辑  收藏  举报