插件推荐
插件名 | 作用 |
---|---|
SonarQube Scanner for Jenkins | 提供了sonar-scanner的方式进行代码静态检查 |
Sonar服务的安装
sonar有一个内置的数据库,但为了持久化,我们利用docker使用了sonar+mysql的方式实现sonar的安装,如下是一个简单的利用docker容器安装sonar服务的过程。
1.启动数据库容器:这里使用mysql5.7数据库
$ docker run -d --name mysql \
-e MYSQL_ROOT_PASSWORD=my-secret-pw \
-e MYSQL_USER=sonar \
-e MYSQL_PASSWORD=sonar \
-p 3307:3306 \
mysql:5.7
2.新建sonar数据库
使用root用户进入数据库后,新建sonar库,并赋予权限给sonar用户,如下:
create database sonar;
grant all privileges on sonar.* to "sonar"@"localhost" identified by "sonar";
grant all privileges on sonar.* to "sonar"@"%" identified by "sonar";
flush privileges;
3.启动sonar容器:使用官方镜像sonarqube,web页面的端口为9000
docker启动命令如下:
$ docker run -d --name sonarqube \
-p 9000:9000 -p 9092:9092 \
-e SONARQUBE_JDBC_USERNAME=sonar \
-e SONARQUBE_JDBC_PASSWORD=sonar \
-e SONARQUBE_JDBC_URL='jdbc:mysql://*****:3307/sonar?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance' \
sonarqube
Sonar中配置Token和Webhook
1. 添加token
Jenkins在本机上使用Sonar Scanner对代码进行扫描,扫描后会将结果发送到Sonar服务器上进行分析,因此为了访问远程的服务器,我们需要添加一个Token。
在用户右上角选择My Accouont
可进入添加/修改Token的界面,填写名称后即生成一个新的Token,如下图:
2. 添加Webhook
Sonar系统的管理员登录后,点击
Administration
——Configuration
——Webhooks
可进入添加webhook的页面,添加的Jenkins的webhook结构为:http://jenkins_server/sonarqube-webhook/
如下:
Jenkins中的进行Sonar的配置和使用
- 下载插件
SonarQube Scanner for Jenkins
- 在
Manage Jenkins
——Configure System
中配置SonarQube服务,填写Sonar服务器地址以及在Sonar中生成的Token,如下
- 在
Manage Jenkins
>全局工具配置
中添加sonar scanner工具,如图
- 在pipeline中的使用
我们是通过命令行使用sonar-scanner的方式进行代码扫描的。为了使用sonar-scanner命令,首先我们需要将scanner工具配置为环境变量,如下:
env.SONAR_HOME = "${tool 'sonarscanner'}"
env.PATH="${env.SONAR_HOME}/bin:${env.PATH}"
然后利用pipeline中的withSonarQubeEnv()块执行scanner语句,如下,其中使用-D配置属性,$占位符表示环境变量(Jenkins已支持的见PipelineSyntax
--GlobalVariable
--env
中):
stage('CodeCheck'){
withSonarQubeEnv('sonar') {
sh """
sonar-scanner -X -Dsonar.language=java \
-Dsonar.projectKey=$JOB_NAME \
-Dsonar.projectName=$JOB_NAME \
-Dsonar.projectVersion=$GIT_REVISION \
-Dsonar.sources=src/ \
-Dsonar.sourceEncoding=UTF-8 \
-Dsonar.java.binaries=target/ \
-Dsonar.exclusions=src/test/**
"""
}
}
当sonar服务器分析报告结束,会使用已配置好的webhook进行回调,pipeline中可以使用waitForQualityGate
获取回调结果,如下:
stage("QualityGate") {
timeout(time: 1, unit: "HOURS") { // 防止获取回调出现异常情况,设置超时时间
def qg = waitForQualityGate()
if (qg.status != 'OK') {
error "Pipeline aborted due to quality gate failure: ${qg.status}"
}
}
}
配置多模块支持不同语言的代码审查
对不同语言的代码,使用多模块的方式,设置sonar.modules,每个模块需配置projectName、language、sources、projectBaseDir,代码扫描会在projectBaseDir下进行,如下为扫描php和js的代码
sh """
sonar-scanner -X \
-Dsonar.projectKey=$JOB_NAME \
-Dsonar.projectName=$JOB_NAME \
-Dsonar.projectVersion=$GIT_REVISION \
-Dsonar.sourceEncoding=UTF-8 \
-Dsonar.modules=php-module,javascript-module \
-Dphp-module.sonar.projectName=PHP-Module \
-Dphp-module.sonar.language=php \
-Dphp-module.sonar.sources=. \
-Dphp-module.sonar.projectBaseDir=backend/app \
-Djavascript-module.sonar.projectName=JavaScript-Module \
-Djavascript-module.sonar.language=js \
-Djavascript-module.sonar.sources=. \
-Djavascript-module.sonar.projectBaseDir=front/src
"""
其他
问题1:无法扫描代码,提示错误
Please provide compiled classes of your project with sonar.java.binaries property,sonar6之后会扫描编译文件是否存在,因此需配置二进制文件路径(默认为target/classes),可设置为根目录,但会对jacoco和junit报告有影响
问题2:扫描时控制台报错
org.sonar.java.se.ExplodedGraphWalker$MaximumStepsReachedException: reached limit of 16000 steps for method getActionInfo#199 in class LibraDataSender
可能是因为方法深度过深,导致报错