DevOps 生态介绍（五）：玩转SonarQube：代码静态扫描、Bug预警、质量门禁介绍

上一篇文件介绍的是Sonarqube与Jenkins 集成，使用的是Jenkins 的Sonar-Scanner 组件对源码进行扫描结合Jacoco 展示出来的是代码覆盖率，今天这篇文章主要介绍使用Sonar-scanner工具进行本地扫描查看下源码除覆盖率以外其他的指标（安全、可靠性、可维护性、已审查）

sonar-scanner

在Sonarqube-我的账号-安全 一栏新增一个专门供sonar-scanners使用的通用令牌

点击“生成”按钮后，复制生成的ID

新增项目：

选择“手工” 点击

输入显示名，项目标识会自动跟显示名保持一致，输入主分支名称（dev or test or uat）

两个选项都可以选择，我选择了第一个，

遵循实例的默认配置：每次扫描只扫这一版本更改过的来检查问题

自定义：可以选择上个版本，也可以自定义天数，或者引用分支

创建1项目后到这个界面，选择点击本地，因为我们这边测试的是使用本地sonar-scanner扫描代码

这里选择“使用已有令牌”，将前面生成的令牌ID复制进去，然后点击“继续”按钮

在这里选择“其他”-“Linux”

这里提示的执行扫描器的命令要复制好，下面下载linux 扫描器时需要用到这段命令

sonar-scanner \ -Dsonar.projectKey=xxxxxxxxx-shoudong \ -Dsonar.sources=. \ -Dsonar.host.url=http://192.168.1.1:9000 \ -Dsonar.token=sqa_385ddcd1c51e6c1e4cb6a619a5370cd8b748f211

Linux 平台部署扫描器---Sonar-Scanner

#sonar-scanner-cli 下载连接 https://binaries.sonarsource.com/?prefix=Distribution/sonar-scanner-cli #wget 下载 cd /data/app/pats_opts wget https://binaries.sonarsource.com/?prefix=Distribution/sonar-scanner-cli/sonar-scanner-cli-8.1.0.6389.zip unzip sonar-scanner-cli-8.1.0.6389.zip #解压后会有一个sonar-scanner-8.1.0.6389 的文件夹，重命名文件夹及到文件夹下新增sourcecode文件夹用来存放项目源码 mv sonar-scanner-cli-8.1.0.6389 sonar-scanner cd sonar-scanner && mkdir sourcecode

到sourcecode目录下新增一个以项目名称命名的.sh的脚本，此用本用来shell 执行sonar-sacnner 命令，脚本内容如小所示

more xxx-shoudong-scanner.sh git clone -b master-test https://codeup.xxx.com/64a7a5d071f685caf0826898/xxx/xxx.git cd xxx /data/app/pats_opts/apache-maven-3.9.16/bin/mvn clean package /data/app/pats_opts/sonar-scanner/bin/sonar-scanner \ -Dsonar.projectKey=xxx-shoudong \ -Dsonar.sources=. \ -Dsonar.host.url=http://192.168.1.96:9000 \ -Dsonar.token=sqp_c23b217563d40e17cfc39bbcf29f30b68c4e85ac \ -Dsonar.java.binaries=target/classes #-Dsonar.java.binaries=**/target/classes 最后一行的这一句一定要加上，不然在scanner时会提示找不到classes。 #这个项目执行sonar-scanner时 ./xxx-shoudong-scanner.sh 即可

如下图所示即为执行成功了，成功后，到sonarqube页面就能看到这个项目的信息了

sonarqube 页面介绍

上一篇文章中Sonarqube 与Jenkins 集成只统计了覆盖率，今天手动sonar-scanner 其他指标也有数值了

详细需要修改的地方，可以依次点击进去查看下，sonarqube平台也会给出提示的

Sonar way

SonarWay 是Sonarqube 内置的一套“推荐标准”和“最佳实践”集合，大部分情况下不需要自定义规则， 直接使用官方推荐规则即可

SonarWay 包括：质量配置和质量门禁

质量配置：制定的是规则，不同语言环境下的sonarway 质量配置的规则也是不一样的

点击其中一个规则查看详细信息，会有规则问题描述，问题原因，修复方法，生效时间一些信息

质量门禁：指定阈值，达到什么用的程度选达标

SonarWay 需不需要自定义？

对于大部分项目来说，可以直接使用SonarWay就够了，SonarWay是官方推荐的基准线，先用它跑起来，后面在看，如果规则感觉太松或者太严，在考虑基于它去定制。

下一批文章将介绍

“DevOps 生态介绍（六）：超详细！Jenkins Pipeline 实战教程，构建你的第一个 CI 项目”