本文记录了Maven工程使用SonarQube完成代码评估,并对其中指定模块进行排除和项目权限管理等
有些代码是使用相关插件或工具生成的,这些代码通常存在高冗余或书写不规范现象,不符合代码质量要求,但不影响使用,应排除在代码质量评估之外
本文基于上一篇文章的基础配置
本文将通过一个gRPC项目作为例子,该项目有 eureka-server,lib,provider,consumer 4个模块,其中lib包含gRPC的proto文件和基于该proto文件生成的Java类,代码评估时应该跳过lib模块
另外,建议先在IDE安装SonarLint插件,在本地开发时就能提供部分Sonar代码审核功能
在上一篇文章中我们已经设定了提交代码评估需要授权,也给新建用户 lin 分配了对应权限,所以后续的Sonar项目开发就以 lin 的身份进行。
这里需要注意,使用token要比使用密码更安全,到 我的账号– 安全下生成token(令牌),建议以项目名命名,每个项目使用各自的 token ,以后可以针对项目撤销token授权
先将token复制保持,下一步会用到
官方的对应说明在:https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner+for+Maven
官方给的配置示例里将一些通用配置(通过PluginGroups来提供插件默认groupId、sonar主机地址等)放到Maven的 setting.xml 文件里(也是为了在不修改pom文件的前提下可以直接运行maven-sonar指令),这里我不是很建议这么做
对于安全性配置,如密码等应该放着setting.xml里,因为pom文件时默认公开的。但除此之外,例如为了方便或统一配置将公共/默认属性放到setting.xml 里就没什么必要了,这会导致项目和Maven的高耦合。
这里直接在根工程的pom文件里添加如下内容
<build>
<pluginManagement>
<plugins>
<plugin>
<groupId>org.sonarsource.scanner.mavengroupId>
<artifactId>sonar-maven-pluginartifactId>
<version>3.5.0.1254version>
plugin>
plugins>
pluginManagement>
build>
配置的属性可参考:https://docs.sonarqube.org/display/SONAR/Analysis+Parameters
sonar的配置大多通过在properties下添加对应属性来完成,例如
<sonar.login>9129bbeb9b95ea497d14761ffaf55d19a2d63ce3sonar.login>
<sonar.password>sonar.password>
<sonar.host.url>
http://IP:9000
sonar.host.url>
如果使用token的话直接放到 login 里就行,如果是 用户/密码 则对应 login/password
我要排除的模块的文件结构如下,com.linshen.grpc.cloud.lib包下的文件是工具proto自动生成的,根据实际测试,proto文件夹并不会被加入到审核代码里,默认只上传工程下 pom.xml文件,src
/main/java文件夹,src/test/java文件夹
这一步是折腾了最久的,本来应该是想在根项目的pom里使用 sonar.exclusions 简单配置一下就可以的,但一直不生效,官方也只是指明了该属性的作用,并没有做进一步的说明,也没有给出用例,即使是GitHub的Maven用例也没有出现相关用法,所以就只能自己去尝试。最后参考 StackOverflow 上的回答,并且测试可行的做法是,到对应子模块工程里添加 sonar.exclusions属性配置,使用 **/com/companyname/projectname 的格式。如下:在grpc-springboot-cloud-lib项目的pom的properties下添加如下内容
<sonar.exclusions>
**/com/linshen/grpc/cloud/lib/*
sonar.exclusions>
运行以下mvn指令完成sonar功能,注意这里我跳过了test
mvn clean verify sonar:sonar -Dmaven.test.skip=true
可以看到如下输出,点击对应链接即可访问项目分析结果
将日志往上翻,可以看到对各个模块的扫描,例如
最后点击链接查看web端结果
我们只给了用户 lin 执行业务操作的能力,如果想对项目进行管理需要使用admin用户登录
admin用户可以完成对项目的管理以及包括删除的操作。
使用admin登录后可以发现项目下多了 配置一栏,在下拉菜单中选择 权限 进行配置,首先将权限收归 私有
这个时候理论上默认管理员拥有 执行分析 之外的所有权限,其他用户没有任何权限
但是,需要特别注意的是,这里只要在全局权限那里授予了用户执行分析的权限,用户就可以执行分析!
即使他这个时候连浏览结果,查看源码的权限都没有!
这个我认为不是很合理,全局设置不应该优先于私有项目,但是新建用户的时候如果不授予用户 执行分析 的权限,项目连初始化都很麻烦(一般是在第一次 执行分析 的时候完成初始化的)。置备项目在这里是个比较鸡肋的功能,特别是对于多模块项目来说
这里我的理解是,这只是一个代码分析评审工具,并不是代码管理平台(比方说GitHub),应该注意的是防止代码的泄露(所以需要设置为 私有 ,并分配可见权限),而对于提交分析则不用管理得太严格(不像是代码版本管理,会进行覆盖操作,代码分析本身就意味着可能不完善、需要修改)
这个时候lin可以看到提交分析,浏览结果,看到代码结构和文件名,但是看不到源代码
项目配置:https://docs.sonarqube.org/display/SONAR/Project+Existence
分析参数:https://docs.sonarqube.org/display/SONAR/Analysis+Parameters
Sonar与Maven整合指南:https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner+for+Maven
SonarQube学习系列1:安装和初始化、安全配置:https://blog.csdn.net/alinyua/article/details/83244983
SonarQube学习系列2:Maven+SonarQube 最佳实践:https://blog.csdn.net/alinyua/article/details/83267934