您现在的位置是:首页 > 文章详情

Jenkins集成SonarQube 实现构建项目同时审查代码

日期:2019-05-17点击:358

软件版本:

     SonarQube:7.7    

     Jenkins:2.164.3

 

一、简介

     SonarQube是一个开源的代码质量分析平台,便于管理代码的质量,可检查出项目代码的漏洞和潜在的逻辑问题。同时,它提供了丰富的插件,支持多种语言的检测, 如 Java、Python、Groovy、C#、C、C++等几十种编程语言的检测。

    核心价值观:

  • 检查代码是否遵循编程标准:如命名规范,编写的规范等。

  • 检查设计存在的潜在缺陷:SonarQube通过插件Findbugs、Checkstyle等工具检测代码存在的缺陷。

  • 检测代码的重复代码量:SonarQube可以展示项目中存在大量复制粘贴的代码。

  • 检测代码中注释的程度:源码注释过多或者太少都不好,影响程序的可读可理解性。

  • 检测代码中包、类之间的关系:分析类之间的关系是否合理,复杂度情况。

 

SonarQube主要由4个组件组成:

 

  1. 一个SonarQube服务器启动3个主要流程:

    • Web服务器,供开发人员,管理人员浏览高质量快照并配置SonarQube实例
    • 基于Elasticsearch的Search Server从UI返回搜索
    • 计算引擎服务器负责处理代码分析报告并将其保存在SonarQube数据库中
  2. 一个SonarQube数据库存储:

    • SonarQube实例的配置(安全性,插件设置等)
    • 项目,视图等的质量快照
  3. 服务器上安装了多个SonarQube插件,可能包括语言,SCM,集成,身份验证和治理插件
  4. 在构建/持续集成服务器上运行一个或多个SonarScanner来分析项目

SonarQube工作流程:

 

二、安装步骤

      好了,讲了一堆概念开始进入正题了。

     1.安装jenkins

       没有安装jenkins的可以参考之前的文章。Linux -- 集成Jenkins

     2.安装SonarQube

        本文为了方便测试使用Docker安装SonarQube。

        运行SonarQube:

docker run -d --name sonarqube -p 9000:9000 sonarqube

      启动后默认登录账号为admin/admin。

 

      默认情况下,镜像将使用不适合生产的嵌入式H2数据库。如需要设置数据库请参考如下设置。

      生产数据库被配置成与作为环境变量以下SonarQube属性:sonar.jdbc.usernamesonar.jdbc.passwordsonar.jdbc.url

$ docker run -d --name sonarqube \ -p 9000:9000 \ -e sonar.jdbc.username=sonar \ -e sonar.jdbc.password=sonar \ -e sonar.jdbc.url=jdbc:postgresql://localhost/sonar \ sonarqube

 

       更多高级设置可以参考文档:Docker安装SonarQube

     3.启动SonarQube:

 

       安装chiese Pack中文插件,安装完记得点击页面上的Restart重启SonarQube。

        然后重要的事情来了,就是配置质量阀。像我们只想针对新提交的代码进行审计,故定制如下质量阀指标:

 

          好了,到此基本配置完了。下面开始集成Jenkins

     4.集成Jenkins

         因为我们是用Jenkins做为后台的持续扫描调度服务,所以需要安装SonarQube Scanner For Jenkins插件,也就不需要安装其他的扫描器了。

          在Jenkins系统设置->配置SonarQube服务器连接详细信息。

 

 

 

             构建项目:

    

sonar.projectKey=tembin_loan_test sonar.projectName=tembin_loan_test sonar.projectVersion=1.0 sonar.exclusions=*-ui/** sonar.language=java sonar.java.source=1.8 sonar.sourceEncoding=UTF-8 sonar.sources=$WORKSPACE sonar.java.binaries=$WORKSPACE

 

 

                打开构建结果的链接来查看SonarQube具体的分析报告。

 

      5.质量阀状态关联构建结果

         

             我们需要在代码分析无法满足SonarQube的质量标准时,就项目构建失败。Jenkins是支持这样的,需要安装插件Sonar Quality Gates Plugin

      

            同时在系统设置->配置Quality Gates - Sonarqube。

           

 

          然后,在项目工程中需要增加“构建后操作“。

    

 

 

 

   6.邮件通知commiter

            项目构建失败时,邮件通知提交代码的人。jenkins默认集成了一个挺好用的邮件插件Extended E-mail Notification。

            先进行全局设置,初始配置时建议勾选debug和watch,方便查看邮件是否发送成功。如下图

 

  项目配置邮件插件:

  

 

选择右下角高级设置

 

 

三、整合阿里Java开发规范(p3c-pmd)

sonar-pmd 3.2.0-SNAPSHOT 集成p3c-pmd 1.3.4-pmd6.10.0

 

编译好的插件地址:sonar-pmd-plugin-3.2.0-SNAPSHOT.jar
提取码:9a4i 

把sonar-pmd-plugin-3.2.0-SNAPSHOT.jar 更新到sonarqube服务器上sonarqube-7.7/extensions/plugins/sonar-pmd-plugin-3.2.0-SNAPSHOT.jar


更新后启动sonarqube

 


 

四、参考资料 

       SonarQube官方文档

       SonarQube插件下载地址

原文链接:https://my.oschina.net/u/2963821/blog/3051006
关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。

文章评论

共有0条评论来说两句吧...

文章二维码

扫描即可查看该文章

点击排行

推荐阅读

最新文章