测试工程师的福音-如何使用Sonar完成代码质量检测

 

本文章出自【码同学软件测试】

 

 码同学公众号:自动化软件测试,领取资料可加:Matongxue_8

 

 码同学抖音号:小码哥聊软件测试

 

 

 

 

Sonar是什么


 

1、Sonar全称SonarQube是一个用于代码质量管理的开源平台,用于管理源代码的质量,可以多维度检测代码质量,是代码审查利器

通过插件形式,可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测 ,可以帮我们分析bug, 漏洞,异味,代码覆盖率,及代码重复问题,如图所示

 

 

 

 

 

2、sonar 安装

采用docker方式

sonarqube 最新版本官网建议数据是postgres,版本是12,我们可以一键搭建起来

2.1 搭建一个数据库postgres

docker run --name db -e POSTGRES_USER=sonar -e POSTGRES_PASSWORD=sonar -d postgres:12

说明:

--name db  是搭建的postgres数据库docker 容器名称

-e POSTGRES_USER=sonar -e POSTGRES_PASSWORD=sonar 是数据库账号和密码

-d postgres:12 是版本为12的postgres镜像

 

2.2 搭建sonarqube

 

docker run --name sq --link db2 -e SONARQUBE_JDBC_URL=jdbc:postgresql://db2:5432/sonar -e SONARQUBE_JDBC_USERNAME=sonar -e SONARQUBE_JDBC_PASSWORD=sonar -p 9001:9000 -d sonarqube

 

说明:

--name sq 是搭建的sonarqube数据库docker 容器名称

--link db 是连接上面postgres容器

-d sonarqube 是最新版本的sonarqube 镜像

-p 9001:9000 对外访问端口9001

 

2.3 sonar 环境搭建问题

 

运行上述两个命令后,通过docker ps 查看docker容器,发现sonarqube没有启动起来

可以通过 docker logs sq 查看启动日志

 

 

 

 

 

 

发现sonarqube容器stopped,没有启动起来,原因是

max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

 

说明最新版本sonarqube需要内存大小不低于262144,那首先要保证运行环境的内存大小不低于3G,例如我采用的VMware直接给加大到3G以上

 

 

 

 

免费领取码同学软件测试课程笔记+超多学习资料+完整视频+面试题,可加微信:Matongxue_8

 

免费领取码同学软件测试课程笔记+超多学习资料+完整视频+面试题,可加微信:Matongxue_8

 

 

然后在进入虚机环境

找到/etc/sysctl.conf文件最后添加一行:

vm.max_map_count=262144

立即生效, 执行:

/sbin/sysctl -p

 

最后再执行 docker restart sq 重启sq;

使用docker ps 查看,出现sonarqube容器说明启动成功

 

 

 

 

 

2.4 通过http://ip:9001访问sonarqube 默认密码admin admin

 

 

 

 

3 sonar 汉化问题

默认的sonar 满屏英文,也不好理解,可以利用sonar 的插件体系,直接汉化

 

登录sonar并选择Administration中,选择MarketPlace,搜索Chinese Pack,点击安装,安装完成后,按照提示重启即可

 

 

 

 

汉化后界面

 

 

 

 

 

4 sonar 项目支持

 

4.1 选择项目,创建要要分析的项目

 

 

 

 

 

 

4.2 创建项目令牌 可以写任意不重复的名称

 

 

 

 

 

免费领取码同学软件测试课程笔记+超多学习资料+完整视频+面试题,可加微信:Matongxue_8

 

免费领取码同学软件测试课程笔记+超多学习资料+完整视频+面试题,可加微信:Matongxue_8

 

 

4.3 选择支持项目,我们这里对后台开发常见java项目进行配置,选择开发常用的开发工具maven,如图所示,会生成maven 集成命令,一定要保留下来

 

 

 

4.4 项目集成soanr

要想让java项目支持mvn 命令,首先要集成sonar maven插件

 

<plugin>

<groupId>org.codehaus.mojo</groupId>

<artifactId>sonar-maven-plugin</artifactId>

<version>3.4.0.905</version>

</plugin>

 

然后再项目中直接运行

mvn sonar:sonar \

  -Dsonar.projectKey=interfaces \

  -Dsonar.host.url=http://192.168.87.139:9000 \

  -Dsonar.login=7940503affbe9bf1ca5aee1548901f7969108976

 

就可以将项目推送到soanr,sonar会自动分析推送的项目信息(java项目如何集成maven,这个需要java基础,可以让开发协助,或者学测试开发相关内容,我们正式课会详细讲解)。

 

4.5 项目分析结果

 

soanr会自动分析推送的项目

 

 

 

 

代码覆盖率还需要额外插件支持

 

 

 

 

上面这个截图半年前搭建的版本,当时是7.9版本的内容,很多公司很可能还停留在7.*版本甚至6.*版本,最新的sonar已经升级到8.*版本, 里面集成了全文搜索引擎Elasticsearch,来加快搜索,所以需要内存空间也更大,也新加了审计功能

 

 

 

 

 

 

审计功能是对增量代码检查支持,如图

 

 

 


 

代码如何审计呢 可以按照他的等级 BUG>漏洞>异味 优先看BUG

每个等级中又按照阻断>严重>主要>次要>提示 5个小等级来细分

 

 

 


 

点开每个等级后内容

 

 

 


 

具体的怎么走读代码就需要有些代码基础或者和开发一起做代码审计,可以快速帮我们分析出程序潜在问题,提高代码质量,也是高级测试人员必备技能包。

 

 

END

免费领取码同学软件测试课程笔记+超多学习资料+学习完整视频 可加:Matongxue_8/关注码同学公众号

本文著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

 

posted @ 2021-11-11 11:38  码同学软件测试  阅读(141)  评论(0编辑  收藏  举报