软件版本:java
SonarQube:7.7 git
Jenkins:2.164.3github
SonarQube是一个开源的代码质量分析平台,便于管理代码的质量,可检查出项目代码的漏洞和潜在的逻辑问题。同时,它提供了丰富的插件,支持多种语言的检测, 如 Java、Python、Groovy、C#、C、C++等几十种编程语言的检测。sql
核心价值观:docker
一个SonarQube服务器启动3个主要流程:数据库
一个SonarQube数据库存储:编程
好了,讲了一堆概念开始进入正题了。安全
没有安装jenkins的能够参考以前的文章。Linux -- 集成Jenkins服务器
本文为了方便测试使用Docker安装SonarQube。编程语言
运行SonarQube:
docker run -d --name sonarqube -p 9000:9000 sonarqube
启动后默认登陆帐号为admin/admin。
默认状况下,镜像将使用不适合生产的嵌入式H2数据库。如须要设置数据库请参考以下设置。
生产数据库被配置成与做为环境变量如下SonarQube属性:sonar.jdbc.username
,sonar.jdbc.password
和sonar.jdbc.url
。
$ docker run -d --name sonarqube \ -p 9000:9000 \ -e sonar.jdbc.username=sonar \ -e sonar.jdbc.password=sonar \ -e sonar.jdbc.url=jdbc:postgresql://localhost/sonar \ sonarqube
更多高级设置能够参考文档:Docker安装SonarQube
安装chiese Pack中文插件,安装完记得点击页面上的Restart重启SonarQube。
而后重要的事情来了,就是配置质量阀。像咱们只想针对新提交的代码进行审计,故定制以下质量阀指标:
好了,到此基本配置完了。下面开始集成Jenkins
由于咱们是用Jenkins作为后台的持续扫描调度服务,因此须要安装SonarQube Scanner For Jenkins
插件,也就不须要安装其余的扫描器了。
在Jenkins系统设置->配置SonarQube服务器链接详细信息。
构建项目:
sonar.projectKey=tembin_loan_test sonar.projectName=tembin_loan_test sonar.projectVersion=1.0 sonar.exclusions=*-ui/** sonar.language=java sonar.java.source=1.8 sonar.sourceEncoding=UTF-8 sonar.sources=$WORKSPACE sonar.java.binaries=$WORKSPACE
打开构建结果的连接来查看SonarQube具体的分析报告。
咱们须要在代码分析没法知足SonarQube的质量标准时,就项目构建失败。Jenkins是支持这样的,须要安装插件Sonar Quality Gates Plugin
同时在系统设置->配置Quality Gates - Sonarqube。
而后,在项目工程中须要增长“构建后操做“。
项目构建失败时,邮件通知提交代码的人。jenkins默认集成了一个挺好用的邮件插件Extended E-mail Notification。
先进行全局设置,初始配置时建议勾选debug和watch,方便查看邮件是否发送成功。以下图
项目配置邮件插件:
选择右下角高级设置
sonar-pmd 3.2.0-SNAPSHOT 集成p3c-pmd 1.3.4-pmd6.10.0
编译好的插件地址:sonar-pmd-plugin-3.2.0-SNAPSHOT.jar
提取码:9a4i
把sonar-pmd-plugin-3.2.0-SNAPSHOT.jar 更新到sonarqube服务器上sonarqube-7.7/extensions/plugins/sonar-pmd-plugin-3.2.0-SNAPSHOT.jar
更新后启动sonarqube