一、SonarQube的安装
Sonarqube的运行离不开数据库,按照官方建议,本文使用postgresql来作为其数据库。
docker run --name pgdb -e POSTGRES_USER=sonar -e POSTGRES_PASSWORD=sonar -e POSTGRES_DB=sonar -p 5432:5432 -v E:\docker-volume\postgresql\data:/var/lib/postgresql/data -d postgres
由于Sonarqube依赖ELK的运行,默认情况下最大虚拟内存大小不足以支撑ELK的运行,所以我们需要调大虚拟内存的最大内存:
# 设置elk运行允许最大内存,否则sonarqube无法正常启动(适合windows Docker Desktop场景)
wsl -d docker-desktop
sysctl -w vm.max_map_count=262144
exit
然后,我们就可以运行sonarqube容器了:
docker run --name sq --link pgdb -e SONARQUBE_JDBC_USERNAME=sonar -e SONARQUBE_JDBC_PASSWORD=sonar -e SONARQUBE_JDBC_URL=jdbc:postgresql://pgdb:5432/sonar -p 9000:9000 -v E:\docker-volume\sonarqube\data:/opt/sonarqube/data -v E:\docker-volume\sonarqube\extensions:/opt/sonarqube/extensions -v E:\docker-volume\sonarqube\logs:/opt/sonarqube/logs -d sonarqube
稍等几分钟后访问localhost:9000,初始账密为admin/admin,进入后会要求立即修改密码。
初始状态下,Sonarqube是英文的,如果需要汉化包,可以在config > marketplace里面搜索chinese汉化插件下载安装,也可以手动下载安装,从Releases · xuhuisheng/sonar-l10n-zh (github.com)下载汉化包放到extensions/downloads下面,重启sonarqube即可汉化,注意要下载和当前sonarqube相对应的汉化包,否则不兼容会导致不能使用。
然后重启sonarqube,docker restart sq即可看到汉化版本的sonarqube了。
PS:sonarqube官方的插件网址:SonarQube™ Plugins Index (sonarplugins.com)
二、手动创建和分析项目
2.1 方式一
点击项目,选择手动新建一个项目,自行输入显示名称、项目标识等,
选择手动分析该项目,自定义一个令牌,一般写项目英文名称即可,方便记忆和查找,然后按照步骤走,就会出现如下界面。
然后到本地项目目录下,执行如上红框中的命令:
mvn clean verify sonar:sonar -Dsonar.projectKey=activity-manage -Dsonar.host.url=http://localhost:9000 -Dsonar.login=1e00f453302829b4c70584c925e88527fff29a32
执行完成后,再刷新Sonarqube界面,就能看到本次手动分析上传的结果了。
2.2 方式二
如果嫌弃上述方式比较麻烦,毕竟还要手动在sonarqube上创建项目,还可以通过如下方式进行:
修改本地maven的setting.xml,增加如下内容:
sonar
true
admin
***
http://localhost:9000
然后在项目目录下执行mvn sonar:sonar命令,即可将项目分析结果上传到sonarqube上了。
2.3 方式三
该种方式适合没有Maven的场景,首先从官网上下载sonar-scanner扫描器,下载地址:SonarScanner | SonarQube Docs
然后在sonarqube的个人账户那边创建一个token:
当前项目增加sonarqube的配置内容:sonar-project.properties
sonar.projectKey=java-cicd-test
sonar.projectName=java-cicd-test
sonar.projectVersion=1.0
sonar.sources=.
sonar.sourceEncoding=UTF-8
sonar.java.binaries=target/classes
然后在项目根目录下执行命令:
D:\sonar-scanner\sonar-scanner-4.7.0.2747-windows\bin\sonar-scanner.bat -Dsonar.login=54f0c382ef7c0b10f84f5d1c81de7070161d473f
即可对项目进行分析并将结果上传到sonarqube了。
三、使用sonarlint进行分析
IDEA安装sonarlint是免费的,提前安装好后其内置了默认的规则即可对项目进行扫描。但是如果需要让项目开发团队所有人的sonarlint具有相同的规则,就需要和sonarqube进行连接了。
在IDEA的File > settings > tools > sonarlint里面点击加号新建一个连接,填写信息如下:
然后下一步输入认证方式,我这里选择账户密码模式,输入自己sonarqube的账密保存即可,然后一路next直至finish。
刚才是新建连接,然后我们需要将IDEA中的当前项目和sonarqube上的项目进行绑定,所以首先我们得在sonarqube上新建一个项目,此处略过,参考上一步:
如此即可将sonarqube上设置的检查规则同步到IDEA的sonarlint上了,实现开发人员代码检查规则的一致性。
注意,sonarlint并不能将检查结果上传到sonarqube,想一想也能理解,每个开发人员的代码都可能不同,如果可以上传的话以谁的为准呢,而且开发人员IDEA中的代码是不稳地不可交付状态,扫描结果上传到sonarqube也没什么意义。可以参考:Bind to SonarQube or SonarCloud · SonarSource/sonarlint-intellij Wiki · GitHub
四、自定义检查规则
4.1 创建新的质量配置
从sonarqube的插件市场在线或者离线安装PMD、CheckStyle等代码检查插件,具体步骤在第一部分已经说过了。
然后质量配置 > 创建,填写新的质量配置内容如下:
如果需要继承系统默认的检查规则,则上级可以选择默认的Sonar way。然后就进入该新的质量配置界面,可以看到左边规则面板上,所有规则都是未激活状态,此时我们就可以自定义需要激活哪些规则。
点击”更多激活规则“,在左侧面板中找到想要使用的PMD规则,然后点击”激活alibaba code guide“表示将该PMD的268条规则添加到我们自己新建的质量配置中,然后再将该质量配置设置为默认,以后扫描Java应用时就会使用该条质量配置了。
4.2 创建新的自定义检查规则
sonarqube还允许我们自己创建检查规则,比如检查类中是否存在作者信息、检查不允许出现某些敏感词等,这些规则是现有内置规则和其它插件规则中所没有的,使用场景比较少,后面有时间再研究。
五、其它配置
4.1 整合Gitlab
Sonarqube整合Gitlab主要就如下四个功能:
- 实现使用Gitlab账号免密登录sonarqube;
- 导入Gitlab中的项目到sonarqube中;
- 配合Gitlab CICD将sonarqube集成在流水线中对代码质量进行分析;
- 针对每次合并代码报告质量门禁和代码指标;
这些功能好像都没什么使用场景,特别是在如今Jenkins+Gitlab实现DevOps的情况下,后面有机会再研究,也可以参考官方的使用文档自行研究:
GitLab Integration | SonarQube Docs
4.3 整合Jenkins
可将sonarqube整合到Jenkins的Pipeline流水线中对代码质量进行分析,这块内容是现在DevOps的主流,将在后续《Jenkins+Gitlab搭建CICD流程进阶》中再详细介绍。