SonarQube 代码扫描配置简单说明

支持PDF插件的版本下载地址
https://gitee.com/zzulj/sonar-pdf-plugin

workbook：默认的，概述、问题分析、问题详情、质量配置
executive：概述、问题分析(TOP)

Sonar 配置

1.点击右上角的+创建新项目

2.创建上传令牌

3.查看参考命令

后面创建不需要在sonar先创建项目，只需按参考命令配置不同的ID即可

Jenkins 配置

第一次使用

需要在 Jenkins 任务执行机器 Maven 的 conf/settings.xml 配置插件和服务器地址，参考官方教程（参考命令图里的“Maven扫描器官方文档”）：
https://docs.sonarqube.org/latest/analysis/scan/sonarscanner-for-maven/

配置插件时多配一个 jacoco 覆盖率插件，即

    org.jacoco
    org.sonarsource.scanner.maven

查看 maven 位置

mvn -v
Apache Maven 3.0.5 (Red Hat 3.0.5-17)
Maven home: /usr/share/maven
Java version: 1.8.0_242, vendor: Oracle Corporation
Java home: /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.242.b08-0.el7_7.x86_64/jre
Default locale: en_US, platform encoding: UTF-8
OS name: "linux", version: "3.10.0-327.el7.x86_64", arch: "amd64", family: "unix"

下载 GitLab 插件略

Jenkins 任务

创建 自由风格的项目，设置拉取代码 略

image.png

先运行覆盖率测试再运行 sonar，如果多个项目用不同的 setting 可以用 -s 定义

mvn jacoco:prepare-agent test sonar:sonar \
  -Dsonar.projectName="显示名称，建议中文+英文" \
  -Dsonar.projectKey=项目标识 \
  -Dsonar.host.url=你的Sonar服务器url \
  -Dsonar.login=令牌 \
  -s /usr/share/maven/conf/settings-自定义后缀.xml

sonar 不会创建 class 文件夹，运行时可以暂时配置成 sonar 文件夹避免报错，这里先跑了测试所以不会报这个错

  -Dsonar.java.binaries=target/sonar

测试质量较差时可以增加如下命令行参数跳过编译失败和测试失败
···
-Dmaven.compiler.failOnError=false
-Dmaven.test.failure.ignore=true
···

配置GitLab提交代码时触发任务

拷贝 GitLab webhook URL

配置GitLab提交时触发

Secret token

打开 GitLab 项目配置

配置到GitLab

保存并测试效果

效果图

效果图-指标

典型用法

右上角搜索框搜索自己动过的文件，重点关注虫子标志的地方。
或者在问题中使用过滤器筛选作者是自己的部分：

过滤器

典型错误

7.x版本

日期 YYYY
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS3986
字符串==
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS4973
自己给自己赋值（部分无效 set 方法可能导致数据库没记录数据）
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS1656
"".equals(Map)
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS2159
+= 写成 =+
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS2757
除0
http://[YouSonarQubeHost]/issues?resolved=false&rules=squid%3AS3518&
SQL注入
http://[YouSonarQubeHost]/issues?resolved=false&sonarsourceSecurity=sql-injection

Web 扫描

第一次使用需安装 SonarScanner：
https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/
解压添加到环境变量后授权

chmod 755 .../sonar-scanner-4.3.0.2102-linux/bin/sonar-scanner
chmod 755 .../sonar-scanner-4.3.0.2102-linux/bin/sonar-scanner-debug
chmod 755 .../sonar-scanner-4.3.0.2102-linux/jre/bin/java
# 否则会报如下错误，实际读取的并不是 JAVA_HOME 而是 sonar-scanner 目录内的 jre
# Could not find 'java' executable in JAVA_HOME or PATH

安装后Ant项目、难以编译的Maven项目、下面的SQL等都可以用它扫描

sonar-scanner \
  -Dsonar.sources=. \
  -Dsonar.java.binaries=. \
  -Dsonar.projectName="显示名称，建议中文+英文" \
  -Dsonar.projectKey=项目标识 \
  -Dsonar.host.url=你的Sonar服务器url \
  -Dsonar.login=令牌

插件使用

下载 SQL 扫描插件放到extensions/plugins目录重启

重启服务

SQL 扫描

下面两个插件用了同一个文件同一个ID，只能选一个
SQL 有 21 条规则
https://github.com/gretard/sonar-sql-plugin/releases
plsqlopen 有 59 条规则
https://github.com/felipebz/zpa/releases

MyBatis 风险 SQL 扫描 MyBatisLint XML 有 7 条规则
https://github.com/donhui/sonar-mybatis/releases/

商业版的 SQL 扫描更为全面

商业版里
T-SQL 有 79 条
https://rules.sonarsource.com/tsql
PL/SQL 有 186 条
https://rules.sonarsource.com/plsql

SVN 项目常见问题

Jenkins 拉取 svn 不是最新

在路径最后加 @HEAD

E170001: Authentication required

[ERROR] Failed to execute goal org.sonarsource.scanner.maven:sonar-maven-plugin:3.7.0.1746:sonar (default-cli) on project project-name: Error when executing blame for file xxx.java: svn: E170001: Authentication required for 'svn://ip:prot hash' -> [Help 1]

SVN blame 报错解决

配置技巧

质量配置

修改标识

回收令牌