支持PDF插件的版本下载地址
https://gitee.com/zzulj/sonar-pdf-plugin
workbook:默认的,概述、问题分析、问题详情、质量配置
executive:概述、问题分析(TOP)
Sonar 配置
后面创建不需要在sonar先创建项目,只需按参考命令配置不同的ID即可
Jenkins 配置
第一次使用
需要在 Jenkins 任务执行机器 Maven 的 conf/settings.xml 配置插件和服务器地址,参考官方教程(参考命令图里的“Maven扫描器官方文档”):
https://docs.sonarqube.org/latest/analysis/scan/sonarscanner-for-maven/
配置插件时多配一个 jacoco 覆盖率插件,即
org.jacoco
org.sonarsource.scanner.maven
查看 maven 位置
mvn -v
Apache Maven 3.0.5 (Red Hat 3.0.5-17)
Maven home: /usr/share/maven
Java version: 1.8.0_242, vendor: Oracle Corporation
Java home: /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.242.b08-0.el7_7.x86_64/jre
Default locale: en_US, platform encoding: UTF-8
OS name: "linux", version: "3.10.0-327.el7.x86_64", arch: "amd64", family: "unix"
下载 GitLab 插件略
Jenkins 任务
创建 自由风格的项目,设置拉取代码 略
先运行覆盖率测试再运行 sonar,如果多个项目用不同的 setting 可以用 -s 定义
mvn jacoco:prepare-agent test sonar:sonar \
-Dsonar.projectName="显示名称,建议中文+英文" \
-Dsonar.projectKey=项目标识 \
-Dsonar.host.url=你的Sonar服务器url \
-Dsonar.login=令牌 \
-s /usr/share/maven/conf/settings-自定义后缀.xml
sonar 不会创建 class 文件夹,运行时可以暂时配置成 sonar 文件夹避免报错,这里先跑了测试所以不会报这个错
-Dsonar.java.binaries=target/sonar
测试质量较差时可以增加如下命令行参数跳过编译失败和测试失败
···
-Dmaven.compiler.failOnError=false
-Dmaven.test.failure.ignore=true
···
配置GitLab提交代码时触发任务
拷贝 GitLab webhook URL
打开 GitLab 项目配置
效果图
典型用法
右上角搜索框搜索自己动过的文件,重点关注虫子标志的地方。
或者在问题中使用过滤器筛选作者是自己的部分:
典型错误
7.x版本
日期 YYYY
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS3986
字符串==
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS4973
自己给自己赋值(部分无效 set 方法可能导致数据库没记录数据)
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS1656
"".equals(Map)
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS2159
+= 写成 =+
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS2757
除0
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS3518&
SQL注入
http://[YouSonarQubeHost]/issues?resolved=false&sonarsourceSecurity=sql-injection
Web 扫描
第一次使用需安装 SonarScanner:
https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/
解压添加到环境变量后授权
chmod 755 .../sonar-scanner-4.3.0.2102-linux/bin/sonar-scanner
chmod 755 .../sonar-scanner-4.3.0.2102-linux/bin/sonar-scanner-debug
chmod 755 .../sonar-scanner-4.3.0.2102-linux/jre/bin/java
# 否则会报如下错误,实际读取的并不是 JAVA_HOME 而是 sonar-scanner 目录内的 jre
# Could not find 'java' executable in JAVA_HOME or PATH
安装后Ant项目、难以编译的Maven项目、下面的SQL等都可以用它扫描
sonar-scanner \
-Dsonar.sources=. \
-Dsonar.java.binaries=. \
-Dsonar.projectName="显示名称,建议中文+英文" \
-Dsonar.projectKey=项目标识 \
-Dsonar.host.url=你的Sonar服务器url \
-Dsonar.login=令牌
插件使用
下载 SQL 扫描插件放到extensions/plugins目录重启
SQL 扫描
下面两个插件用了同一个文件同一个ID,只能选一个
SQL 有 21 条规则
https://github.com/gretard/sonar-sql-plugin/releases
plsqlopen 有 59 条规则
https://github.com/felipebz/zpa/releases
MyBatis 风险 SQL 扫描 MyBatisLint XML 有 7 条规则
https://github.com/donhui/sonar-mybatis/releases/
商业版里
T-SQL 有 79 条
https://rules.sonarsource.com/tsql
PL/SQL 有 186 条
https://rules.sonarsource.com/plsql
SVN 项目常见问题
Jenkins 拉取 svn 不是最新
在路径最后加 @HEAD
E170001: Authentication required
[ERROR] Failed to execute goal org.sonarsource.scanner.maven:sonar-maven-plugin:3.7.0.1746:sonar (default-cli) on project project-name: Error when executing blame for file xxx.java: svn: E170001: Authentication required for 'svn://ip:prot hash' -> [Help 1]