程序员写代码是有一些开发规范的,比如java程序员经常会用到的阿里巴巴java开发手册;其他语言也会有一些自己的规范。不少公司都比较重视代码的质量,会做代码走读或者code review,叫法不一样,但目的都是尽量保证代码的质量和安全。
以前用过crucible这样的工具来协助code review,公司对于code review是有强制性要求的,需要不少于3个人来做,并且要解决提出的合理要求;其实这样比较费时间和精力,尤其是不少代码是并不是核心业务代码,记得当时看到没有注解、魔法值这些每次都会提出来。那么有没有工具来解决这些重复性的工作,让大家更加关注核心业务的code review呢(自检的插件还是有的,比如Alibaba Java Coding Guidelines;这里主要介绍需要部署服务器,让多人协同工作的)。
以前经常听到过sonar来进行代码检查,正好今天被分配了个任务要求做自动代码检查,就找资料学习并安装使用了下,发现用起来比较简单而且效果也还不错。
sonar简介
官网地址:https://www.sonarqube.org/
这个没有国际化,只能看英文的了。首页这里加粗的就是sonar最大的作用就是:代码质量和安全,他的使用对象是your teammate团队成员,所以明确介绍了是为团队成员的代码质量和安全。
不急着下载,先找到官方文档Document:https://docs.sonarqube.org/latest/
文档首页左边这里是导航,右边是欢迎页加一些简介,这里告诉我们从7.4版本后在sonar内部就可以看到这些文档:
右边这里更细致的区分了使用对象(比如作为新人,sonar管理员,程序员使用者等),建立了更快捷的导航:
很明显,我们是做为新人来使用的。这里有2个链接:一个是快速的demo,一个是生产使用。在进入这里之前,我们先看下左侧导航的Requirements需求:
这里对于软件环境就一点明确的要求JRE11或者OpenJDK11,硬件要求操作系统至少2G内存和1G的可用内存,然后明确指出不支持32位的系统;至于硬盘空间则是根据需要分析的代码来定的,有兴趣的可以自己去看下说明,这里不具体描述了。大概意思是使用sonar云在Amazon EC2 large的实例上分析有5年历史3亿5000万行代码需要每个节点50G的空间来运行。
然后企业级硬件的推荐配置8核16G:
支持的平台,java(服务器要求jre11,扫描的要求jre11和jre8)和数据库等:
如果不想使用最新的(目前是8.2版本),可以在左侧导航切换:
当然如果要使用旧版本的话最好选择7.9LTS,这个表示7.9版本会长期支持。
sonar安装
好吧,前面简介废话了这么多(其实还是很有用处的,起码知道了一些基本要求);进入正式的安装。首先回到文档首页https://docs.sonarqube.org/latest/:
选择快速demo版本:
发现快速demo版本果真简单,在2分钟内搞定。然后他告诉你这只是怎么安装一个demo实例,如果准备好安装到正式环境,需要看对应服务器文档。
快速安装有2种方式:
1、通过zip解压安装:需要下载SonarQube 社区版,然后用非root账户解压并运行。
既然这里说了有社区版那肯定就有收费版,进入下载页 https://www.sonarqube.org/downloads/
根据实际情况选择吧,社区版支持的语言和功能没有Developer版强大,不过也足够用了。因为这里需要jre11或openjdk11的环境,所以不演示了。
2、使用docker安装:应该不少人都用过docker了,这里不详细描述docker了。
centos7下安装docker:
yum install docker -y
安装后启动并设置成开机启动
systemctl start docker
systemctl enable docker
然后按照文档安装(这个时间有点长,远超2分钟;这里推荐使用阿里云镜像加速,具体操作去百度docker阿里云镜像加速,速度很快),需要注意9000端口没被占用:
docker pull sonarqube
docker run -d --name sonarqube -p 9000:9000 sonarqube
执行命令后如果没问题会看到一串字符串,可以理解为docker启动了一个容器的id标识:
然后通过浏览器访问:
可以看到about页面了,点击登录按钮:
可以看到登录界面下方有个警告,说内嵌的数据库仅适用于评估目的,推荐还是使用外部的数据库。默认用户名密码是admin/admin,登录:
可以在右边看到各项评估指标统计,左边是项目列表。
到这来sonar的安装就完成了,下面介绍下怎么结合java进行代码分析。
简单使用
点右侧的创建新项目:
如果有项目的话可以点右上角的加号创建:
可以看到创建新项目需要填写的项目关键字和显示名称:
点击创建继续:
这里需要生成一个token,随便填写token的名称然后点生成:
点击继续:
可以看到第二步出现了,需要选择你项目的主要语言,这里我们选择java:
然后可以看到提示,我们用什么技术来构建,这里我用的是maven,所以选择maven继续:
可以看到分成具体的一个提示命令了,其中包含了项目名称,sonar主机url和刚生产的token;我们先复制这个命令直接到工程下运行(在windows下需要去掉反斜杠):
经过一段时间的等待,发现分析成功了。我们在回到浏览器页面,发现页面也变化了:
看到左边是整体结果Passed通过了,右边是详细统计。有多少bug,多少Vulnerabilities漏洞,多少Security Hotspots这些具体的信息及对应的评级。总之有数字的就是需要改进的,然后我们点击3个Vulnerabilities漏洞查看:
可以看到左侧还是导航栏,记录了各种级别的问题;有右边是对应问题的列表,可以看到每个漏洞的级别,甚至告诉你为什么是个issue。
先点击第一条记录:
页面跳转了,左侧是刚才的问题列表,右侧是具体的代码。其实这里给出了他要求你怎么做了:
直接百度翻译:将i设为静态final常量或非公共常量,并在需要时提供访问器;比较明确了吧。我们再看下为什么,点‘Why is this an issue’:
也给出了非常明确的解释,还有例子:
提示信息和例子还是很有用的,明确地告诉你需要怎么去解决。
回到首页发现刚才分析的项目在右侧列表了:
好了,sonar安装及简单使用到这里基本上就可以了。实际项目中肯定是需要结合持续集成,后续可能会进一步做相关的介绍和使用。