分享好友 站长动态首页 网站导航

搭建Sonarqube 代码质量扫描环境

2022-03-31 09:46 · 头闻号数据库

最近在给公司搞代码质量管理,因为之前出了线上事故,以前都没人关注的,代码风格五花八门,尤其是前端代码,因为最新的 Typescript 是支持类型注释的,而很多前端程序员使用 JS 时间比较长,一下子适应不过来,写代码时不做类型检查、不做异常判断,把 BUG 都抛给浏览器,这就导致项目可靠性差、安全度低、可维护性极差。因此借着这个机会,把祖传代码也规范一下。

搭建 sonarqube 云端扫描环境

sonarqube 新版本不再支持 MySQL 数据库,需要使用 postgresql 数据库,我们主要使用 bitnami 维护的镜像,这些镜像更新比较及时,而且长期维护,尤其是 sonarqube 和 Jenkins,下面我们就使用 docker 镜像来按照 postgresql 和 sonarqube。

安装postgresql数据库

docker run -d --name postgresql --restart=always -p 5432:5432 -e ALLOW_EMPTY_PASSWORD=yes -e POSTGRESQL_USERNAME=bn_sonarqube -e POSTGRESQL_DATAbase=bitnami_sonarqube bitnami/postgresql:13

安装sonarqube

docker run -d --name sonarqube -p 9000:9000 -e ALLOW_EMPTY_PASSWORD=yes -e 
SONARQUBE_DATAbase_HOST=192.168.10.213 -e SONARQUBE_DATAbase_PORT_NUMBER=5432 -e
SONARQUBE_DATAbase_USER=bn_sonarqube -e
SONARQUBE_DATAbase_NAME=bitnami_sonarqube bitnami/sonarqube:9

如果sonarqube启动失败,报错信息中包含max_map_count,可以通过调整系统文件数来修改:

vi /etc/sysctl.conf

# 文件最后加上如下内容
vm.max_map_count = 262144

配置工程扫描

使用 bitnami 搭建的 sonarqube 默认账号密码:admin/bitnami,访问 localhost:9000,登录后创建新的工程

填写工程名,并创建令牌,令牌名称建议和工程名相同

生成的令牌ID一定要复制下来,不会再显示第二次,如果没记下就需要重新生成,切记

选择扫描的语言和执行扫描的机器,然后记下生成的扫描命令,执行完扫描后这个页面将自动变为结果页面

下载配置 sonar-scanner

在上面的截图中会有 sonar-scanner 扫描器访问地址,打开以后,根据需求下载对应系统的文件

本来扫描器也是有 docker 镜像可以用的,但是 sonar-scanner 非常简单,基本无需依赖,下载后即可使用,所以我们也就不需要搞 docker 镜像来使用了。我这里使用 Linux 系统下的版本。

执行以下命令配置好 sonar-scanner 的扫描环境:

tar -xvf sonar-scanner-4.6.2.2472-linux.tar

mv sonar-scanner-4.6.2.2472-linux /usr/local

ln -s /usr/local/sonar-scanner-4.6.2.2472-linux/bin/sonar-scanner /usr/bin/sonar-scanner

扫描仓库代码

配置好扫描器后,我们就可以使用 sonar-scanner 来扫描我们的指定库代码了

下载代码

使用 git 命令将代码下载到和 sonar-scanner 在同一台机器上

cd /home/code

git clone git@gitee.com:small_bud_star/xxxxxx.git

执行扫描命令

进入到代码目录下,执行工程创建时提供给我们的扫描命令

sonar-scanner 
-Dsonar.projectKey=databoard
-Dsonar.sources=.
-Dsonar.host.url=http://10.10.8.252:9000
-Dsonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e

执行结果如下

扫描命令中的参数解释:

在实际项目使用中,我们建议在项目根目录创建 sonar-project.properties 文件来配置扫描参数,以上扫描命令配置如下:

sonar.host.url=http://10.10.8.252:9000
sonar.sources=.
sonar.projectKey=databoard
sonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e

然后进入项目根目录,输入sonar-scanner 就可以了

忽略规则配置

每一种开发语言都有很多扫描规则,因此误报的可能性也很大,sonarqube 为我们提供了忽略规则的配置。打开项目规则配置:

忽略配置包括以下类型

排除public 下的所有文件及其子目录下的文件

只扫描src目录下的文件

不检查src/assets目录下的所有文件重复度

文件中包含 sonarqube disable 字符串的文件不参与扫描,这样我们就可以对一些特殊文件进行排除,字符串由我们自己定义

从包含@layer的行到包含@endlayer的行之间的所有代码不进行扫描,对于一些误检或者我们不想改变的代码,可以自定义两个标记把他们包含起来,这样这些代码就不会参与扫描了

项目目录下的所有ts文件不执行squid:S1195扫描规则

在login/index.js文件中只检查javascript:S1195规则,不检查其他规则

以上配置是在sonarqube服务器上,我们更推荐另外一种方式,即在项目目录下 sonar-project.properties文件中进行配置,配置如下:

sonar.host.url=http://10.10.8.252:9000
sonar.sources=.
sonar.projectKey=databoard
sonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e
sonar.exclusions=public*
sonar.issue.ignore.multicriteria=e1,e2
sonar.issue.ignore.multicriteria.e1.ruleKey=Web:ImgWithoutAltCheck
sonar.issue.ignore.multicriteria.e1.resourceKey=***

sonar.issue.ignore.block=e1,e2
sonar.issue.ignore.block.e1.beginBlockRegexp=@layer
sonar.issue.ignore.block.e1.endBlockRegexp=@layer
sonar.issue.ignore.block.e2.beginBlockRegexp=:deep
sonar.issue.ignore.block.e2.endBlockRegexp=:deep

VSCode配置 sonarlint 扫描

上面安装配置好了Sonarqube以后,我们还可以安装sonarlint插件进行编程支持,这个插件的作用是在我们开发代码的过程中实时的显示当前编辑代码的异常情况,在插件中配置sonarqube服务器的作用是可以使用sonarqube服务器中的规则进行代码检查,并不是使用云端sonarqube进行代码检查。

安装 jre 运行环境

java 11 以后没有单独的jre安装包,需要安装jdk,然后通过命令生成

https://www.oracle.com/java/technologies/downloads/

进入JDK安装目录C:Program FilesJavajdk-17.0.2,执行以下命令

binjlink.exe --module-path jmods --add-modules java.desktop --output jre

生成的 Jre 目录在 C:Program FilesJavajdk-17.0.2jre

安装 sonarlint 并配置

在应用商店中搜索 SonarLint

安装完后点击设置按钮,进入扩展设置

选择在settings.json 中编辑

将以下信息配置在文件最下面:

"sonarlint.connectedMode.connections.sonarqube": [
{
"serverUrl": "http://10.10.8.252:9000",
"token": "60f6c402242a93ba5982a1f9f4084937aba9fd5e"
}
],
"sonarlint.connectedMode.project": {
"projectKey": "databoard"
},
"sonarlint.ls.javaHome": "C:Program FilesJavajdk-17.0.2jre",
"sonarlint.ls.vmargs": "-Xmx1024m",
"sonarlint.pathToNodeExecutable": "E:Programnodejsnode.exe"

在我们的开发过程当中,推荐大家使用各种代码检查工具,对代码质量进行管理,这样可以帮我们避免很多低级的或者不合理的异常,尤其是对于经常出错的同学,这是一个养成良好代码书写习惯的很好方式。

免责声明:本平台仅供信息发布交流之途,请谨慎判断信息真伪。如遇虚假诈骗信息,请立即举报

举报
反对 0
打赏 0
更多相关文章

评论

0

收藏

点赞