Jenkins+SonarQube进行代码质量检测

一、SonarQube介绍

SonarQube 是一个开源的代码质量分析平台，便于管理代码的质量，可检查出项目代码的漏洞和潜在的逻辑问题。同时，它提供了丰富的插件，支持多种语言的检测，如 Java、Python、Groovy、C、C++等几十种编程语言的检测。它主要的核心价值体现在如下几个方面：

• 检查代码是否遵循编程标准：如命名规范，编写的规范等。
  
• 检查设计存在的潜在缺陷：SonarQube 通过插件 Findbugs、Checkstyle 等工具检测代码存在的缺陷。
  
• 检测代码的重复代码量：SonarQube 可以展示项目中存在大量复制粘贴的代码。
  
• 检测代码中注释的程度：源码注释过多或者太少都不好，影响程序的可读可理解性。
  
• 检测代码中包、类之间的关系：分析类之间的关系是否合理，复杂度情况。
  

SonarQube 平台是由 4 个部分组成:

• SonarQube Server
  
• SonarQube Database
  
• SonarQube Plugins
  
• SonarQube Scanner
  

二、SonarQube工作流程

SonarQube 在进行代码质量管理时，会从下图所示的七个纬度来分析项目的质量。

SonarQube 需要数据库的支持，用于存储检测项目后的分析数据，同时为了实现可持续监测，还需要持续集成工具（如Jenkins）的支持，在构建版本前，通过Jenkins+Sonar 插件执行项目分析指令，最终的结果会通过SonarQube 服务器的Web 页面展示。下图是使用SonarQube做代码持续审查的流程图：

开发人员把代码push到SCM（如gitlab）【上图第2步】，jenkins构建定义好的job，然后通过jenkins 插件（sonar scanner）分析源码【上图第3步】，jenkins把分析报告发到sonarqube server【上图第4步】。

三、SonarQube配置

SonarQube安装已在前文部署完毕，这里不再一一阐述，安装方法可参考：SonarQube安装

1）关闭SCM

关闭禁用SCM传感器配置，这一步操作完毕，Jenkins才能真正使用SonarQube Server服务器，否则，否则质量分析时会出错

配置 -->> SCM

四、Jenkins配置

1、Jenkins安装插件

安装 SonarQube Plugin插件，系统管理》插件管理—>可选插件—>SonarQube Plugin和SonarQube Scanner for Jenkins安装即可。

系统管理 -->> 系统配置，配置SonarQube

2、安装SonarQube Scanner

系统管理 -->> 全局工具配置，这里选择自动安装，安装后将安装的地址添到Scanner

3、添加项目构建测试

# 我这里已经提前添加好项目了，只需添加以下操作即可

构建配置如下

Analysis properties参数：

sonar.projectKey=Test

sonar.projectName=Test

sonar.projectVersion=1.0

sonar.language=java

sonar.dynamicAnalysis=false

sonar.sourceEncoding=UTF-8

sonar.sources=$WORKSPACE

sonar.java.binaries=$WORKSPACE

4、查看构建后结果

构建结果：Success

SonarQube结果可按下图操作查看

至此，Jenkins+SonarQube部署完毕。

5、配置SonarQube用户验证

# 默认是未开启登录验证，任何人知道SonarQube地址都可以查看所有项目，这样显然是不安全的

开启用户验证

配置 -->> 配置 -->> 权限，开启Force user authentication

# 开启后，点击保存即可。

6、生成token

配置 -->> 权限 -->> 用户 -->> 令牌，创建自己的令牌

填写令牌名称后，点击生成按钮

记住Token：f081fadd2cbfe686517c6ff2571c34766208cbe6，下面操作需要使用

7、再次构建项目

提示报错了

提示没有授权。分析这个项目需要验证。

8、配置Token

编辑sonar-scanner.properties，添加以下参数

[root@localhost ~]# vim /root/.jenkins/tools/hudson.plugins.sonar.SonarRunnerInstallation/Scanner/conf/sonar-scanner.properties

添加刚才创建的Token

sonar.login=f081fadd2cbfe686517c6ff2571c34766208cbe6

添加完毕后，保存即可

9、再次创建项目

构建结果：Success

# 因为刚刚开启了用户验证，现在点击SonarQube就需要登录才能查看了

至此，Jenkins+SonarQube配置完毕。