SonarQube 9.3版本文档
SonarQube® 是一个自动代码审查工具,用于检测代码中的错误、漏洞和代码异味。它可以与现有工作流集成,以实现跨项目分支和拉取请求的连续代码检查。
概述
开发人员在IDE中开发和合并代码(蕞好使用SonarLint在编辑器中接收即时反馈),并将他们的代码签入到他们的DevOps平台。组织的持续集成 (CI) 工具可检出、构建和运行单元测试,集成的 SonarQube 扫描器会分析结果。扫描程序将结果发布到 SonarQube 服务器,该服务器通过 SonarQube 界面、电子邮件、IDE 内通知(通过 SonarLint)以及拉取或合并请求上的修饰(使用开发人员版及更高版本时)向开发人员提供反馈。
SonarQube组成结构
1. SonarQube Platform,就是SonarQube服务器,这是SonarQube运行的基础。
首先解压缩SonarQube的发布软件;
必要的情况下配置解压缩目录下的sonarqube/conf/perties文件;
启动SonarQube Platform:
Windows下执行t
Linux下执行sonarqube/bin/ start c0nsole
启动成功,可登录的用户名和密码为
注意,在实验验证阶段,SonarQube Platform默认使用H2数据库;但是在生产环境中,还需要使用MySQL等其他企业级数据库服务器。
2. SonarQube Scanner,即分析项目代码的默认启动器
首先解压缩SonarQube Scanner;
必要情况下,配置文件sonar-scanner/conf/sonar-perties;建议配置如下:
每次提交前的分析,设置参数sonar.analysis.mode=preview
每天都要执行的CI分析,设置参数sonar.analysis.mode=publish
启动SonarQube Scanner:
Windows下执行sonar-t
Linux下执行sonar-scanner/bin/sonar-scanner
3.分析项目
首先根据项目代码的编程语言,在线安装必要的SonarQube插件,以支持项目使用的编程语言;
然后,cd到要分析的项目目录下,如some/projects/java/myproject/
在项目目录下创建并配置sonar-perties文件
Sonarqube使用范围
通过插件形式,可以支持包括java,C#,C/C++、PL/SQL、Cobol、JavaScrip、Groovy、Ruby等二十五种编程语言的代码质量管理与检测,针对不同的编程语言其所提供的分析方式也有所不同: 对于所有支持的编程语言,SonarQube 都提供源了代码的静态分析功能; 对于某些特定的编程语言,SonarQube 提供了对编译后代码的静态分析功能。
SonarQube支持多种客户端集成方式,包括但不限于scanner客户端、ant、gradle、maven、jenkins、idea插件等。比较常用的为gradle和maven。
以上信息由专业从事代理商sonarqube安全审计的华克斯于2024/5/26 8:32:00发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/hksxxkj-2759038395.html
