免费使用SonarQube审查C/C++代码

SonarQube审查C/C++代码

一、背景

 SonarQube是管理代码质量一个开放平台，可以快速的定位代码中潜在的或者明显的错误。SonarQube有很多版本（社区版、开发人员版、企业版等），只有社区版是免费使用，但该版本不支持C/C++语言的静态代码分析。下面通过配备一些免费的插件集成到SonarQube以达到审查C/C++代码的目的。

二、工具准备（附本例版本）

• SonarQube (8.9.8 LTS : Community Edition) : 展示扫描报告
  下载网址：https://www.sonarqube.org/downloads/
• JDK (11.0.15) 版本过低SonarQube启动会报错，必须是11+的JDK
  下载网址：https://www.oracle.com/java/technologies/javase-jdk11-downloads.html
• Sonar-cxx plugin (V2.0.7)
  下载网址：https://github.com/SonarOpenCommunity/sonar-cxx/releases
  • 支持C/C++多种编码标准
  • 支持windows/Linux
  • 提供了多种传感器: 如cppcheck/gcc/valgrind等
  • 提供了对单元测试/覆盖率数据的分析功能
  • 支持自定义扩展规则
• Sonar-scanner (4.7) : 扫描仪
  下载网址：https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/
• Cppcheck (2.7) : c/c++代码的静态分析工具
  下载网址：https://cppcheck.sourceforge.io/
  注：S00和Sonar-cxx版本要对应。可参考下表选择需要的版本。
  

三、部署环境

1、JDK

（1）下载JDK时保存好安装路径

（2）配置系统环境变量
 新建系统变量：JAVA_HOME
 变量值：C:\Program Files\Java\jdk1.8.0_331（jdk安装路径）

 新建系统变量：CLASSPATH
 变量值：.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;

 编辑Path环境变量
 添加：%JAVA_HOME%\bin
     %JAVA_HOME%\jre\bin

（3）验证测试
 在cmd窗口中运行java、javac、java -version语令不报错即配置成功。

2、SonarQube

（1）下载好sonarqube后，解压打开bin目录，启动对应OS目录下的StartSonar。如本例使用的是win的64位系统，则打开…\bin\windows-x86-64\StartSonar.bat

（2）启动浏览器访问http://localhost:9000，如出现下图则安装成功
  第一次登陆，默认Login、Password为：admin

（3）登陆Sonarqube后如需下载中文包，请按以下步骤安装插件（需联网）
  Administration->Marketplace

3、Sonar-cxx

 将下载好的.jar文件，放到你的sonarqube目录/extensions/plugins目录下，重启SonarQube生效（此处报错重启PC能解决大部分问题）。Language中出现cxx则配置成功。

4、Sonar-scanner

（1）下载好后解压打开bin目录、配置环境变量
编辑Path环境变量，将Sonar-scanner的bin目录添加进去

（2）cmd中验证是否配置成功

5、Cppcheck

（1）安装路径添加到Path环境变量


（2）cmd中验证是否配置成功

四、实战

1、Sonarqube自定义cxx规则

  在sonarqube平台质量配置页面，新增cxx的质量配置项并激活更多规则

——>

——>

——>

——>

激活完成后，将该规则项设置为默认

2、使用Cppcheck对项目代码进行分析

在项目文件夹的根目录下使用cppcheck工具扫描代码，结果记录到cppcheck-report.xml中
语令：cppcheck --xml --xml-version=2 --enable=all ./ 2>cppcheck-result.xml
注：扫描时间会有些长，等待完成后再进行下一步操作

项目根目录下生成的cppcheck-report.xml文件

3、配置项目的一些必要信息

（1）在项目的根目录创建sonar-project.properties文件


（2）文件内容：

#sonarqube中相对应项目的key(可省）
#sonar.projectKey=TestMemory

#sonarqube中相对应项目的名字(可省）
#sonar.projectName= TestMemory

#sonar检测的编程语言种类
sonar.language=c++

#sonar检测的源文件目录，‘.’表示当前根目录下的所有文件目录
sonar.sources=.

#项目各文件的后缀名(可在sonarqube中定义）
sonar.cxx.file.suffixes=.cxx,.cpp,.c,.cc,.hxx,.hh,.h,.handles

#cppcheck生成的Report名称(可在sonarqube中定义）
sonar.cxx.cppcheck.reportPaths=cppcheck-result.xml

（3）在sonarqube中定义项目各文件的后缀名：

（4）在sonarqube中定义cppcheck生成的Report名称：

注：sonarqube中的设定比sonar-project.properties文件里的设定优先级要高

4、Sonarqube创建项目

——>

——>

——>

5、使用sonar-scanner进行代码的静态扫描

复制sonar-scanner语令：

项目根目录下打开cmd执行上面Copy的语令：

在Sonarqube上查看结果：