中國sonarqube靜態(tài)安全掃描工具-華克斯

SonarSource

實現(xiàn)和好處的典型大小

大型國際組織可以對1萬多個項目進(jìn)行分析， 并

分析650–700萬行代碼在14種語言與8000訪問一天在網(wǎng)站上。

IDC 的一位客戶正在跟蹤1200項目， 其中有1.6億行代碼

通過 SonarQube 掃描， 再加上另外的300項目，華中sonarqube靜態(tài)安全掃描工具， 還有1.6億行代碼

被掃描。

另一位客戶從二十幾個項目到現(xiàn)在已注冊的2230多個項目

用戶有更多的匿名瀏覽儀表板。

為什么 SonarQube？

SonarQube 引用 IDC 的講話需要一種測量和強制軟件的方法

和代碼質(zhì)量指標(biāo)。一個關(guān)鍵的目標(biāo)是對代碼質(zhì)量進(jìn)行量化測量， 并

分析這些指標(biāo)來制定一套基準(zhǔn)測量-主要是利用

鼓勵良好做法的平臺 (并勸阻壞的行為)。

在評估有競爭力的產(chǎn)品時， 他們尋找的是: 品質(zhì)特征

分析提供 (如死代碼分析、影響分析、跨平臺分析);

支持的語言 (SonarSource 支持 20 +);代碼評審的靈活性;和儀表板

產(chǎn)品和報告分析。服務(wù)組織還評估了基于

商業(yè)限制和參與限制。

SonarQube 的優(yōu)點通常包括其整體易用性，代理商sonarqube靜態(tài)安全掃描工具， 需要更少的時間來學(xué)習(xí)

并采取。與 SonarQube 的包裝選項也有利于終用戶和

服務(wù)提供商-'不附加任何字符串' 的企業(yè)許可證是對具有動態(tài)分發(fā)需求和服務(wù)提供者的終用戶的幫助， 提供了能夠利用的自由

SonarQube 靈活地作為訂婚的一部分。

SonarQube 仍在發(fā)展其對影響分析的支持， 但同時一些客戶

引用已創(chuàng)建解決此問題的變通方法。

使用 SonarQube 的好處

SonarQube 客戶描述的功能在解決其

問題包括以下幾個方面:

?代碼和質(zhì)量的能見度， 可以看到熱點是在應(yīng)用程序中

主動包括應(yīng)用程序質(zhì)量 '前端' 作為開發(fā)的初始和迭代部分

過程儀表板， 用戶可以選擇處境和

自定義報告。

?的能力， 以不同的層次整合的指標(biāo)， 在各不相同的意見-在客戶

級別， 在開發(fā)人員級別和/或業(yè)務(wù)單位級別-并將它們上卷成 '一個

真理之源 ';一個單一的門戶/單點， 每個人都可以去看看他們

需要知道。

?經(jīng)理/董事可以自定義和使用 SonarQube 來衡量

各個組-服務(wù)提供商可以為每個客戶自定義儀表板

組織， 他們正在努力解決不同種類的需求和標(biāo)準(zhǔn)。

它們還可以增強現(xiàn)有規(guī)則并集成結(jié)果， 因為 SonarQube 給出了

這一水平的靈活性。同時， 組織必須注意不要使用

SonarQube 作為 '棍棒' 迫使 '好行為'-成功的公司有

利用信息鼓勵更好的做法， 而不是建立 '墻

羞辱 '懲罰個人不良的編碼行為。這意味著使用 SonarQube 作為

'診斷指標(biāo)' 而不是 '基于結(jié)果的' 指標(biāo)， 可以更好的推動成功。

?總的來說， 這些能力使客戶能夠管理和減輕技術(shù)債務(wù)

通過一個 cost-effective 的解決方案， 可以擴(kuò)展到企業(yè)級， 并廣泛

分布式.SonarQube 幫助組織對代碼質(zhì)量進(jìn)行基準(zhǔn)測試并了解

他們的組織是如何做， 以及他們?nèi)绾文軌蚝陀懈倪M(jìn)的時間通過

定性和定量的信息。

SonarQube和JaCoCo的個人測試代碼覆蓋率

圍繞JaCoCo聽眾人工制品的一個警告。雖然在文檔中不清楚，但是當(dāng)JaCoCo偵聽器版本與SonarQube中安裝的Java插件的版本匹配時，似乎獲得了jia效果。在這種情況下，由于我們在SonarQube中安裝的Java插件是2.3版，我們使用了listener artefact 2.3版本。我們還用監(jiān)ting器1.2測試了同樣好的結(jié)果，但為了防止任何未來的沖突，我們建議保持版本一致。

運行分析

一旦完成了項目配置的更改，您只需要重新執(zhí)行SonarQube分析即可查看新的報告。

根據(jù)您安裝的SonarQube Java版本，配置有所不同。

在舊版本中運行分析

當(dāng)使用的Java插件版本是2.1或更早的版本時，應(yīng)該在分析執(zhí)行時才能啟用該配置文件，并且只有當(dāng)分析執(zhí)行時。這意味著現(xiàn)在需要發(fā)射聲納：聲納目標(biāo)作為單獨的Maven構(gòu)建（建議這樣做，但在許多情況下，您可以在一次運行中執(zhí)行所有目標(biāo)）。在我們的寵物診suo版本的情況下：

>mvn清潔驗證-P貨 - tomcat，硒測試，jmeter測試

>mvn sonar：聲納-P覆蓋率測試

如果您的構(gòu)建是由Jenkins工作觸發(fā)的，那么新的配置文件應(yīng)該添加到后期制作操作中，如此屏幕截圖中所示：

Ansible SonarQube 升級的角色

你可能知道， 并希望使用 SonarQube。這是一個偉大的工具， 是積極的發(fā)展和改善。這是偉大的， 如果你是一個開發(fā)使用 SonarQube。但是， 如果您碰巧管理 SonarQube 實例， 則由于升級指南由11步驟組成，中國sonarqube靜態(tài)安全掃描工具， 因此不斷升級非常麻煩。

停止舊的 SonarQube 服務(wù)器

并解壓新的 SonarQube 分布在一個新鮮的目錄， 讓我們說 NEW_SONARQUBE_HOME

使用默認(rèn)的 H2 數(shù)據(jù)庫啟動它， 并使用更新中心安裝您需要的插件

手動安裝任何自定義插件

停止新服務(wù)器

更新聲納的內(nèi)容. 屬性和包裝. 配置文件位于 NEW_SONARQUBE_HOME/配置目錄中， 其內(nèi)容與 OLD_SONARQUBE_HOME/配置目錄中的相關(guān)文件 (web 服務(wù)器 URL、數(shù)據(jù)庫設(shè)置等) 有關(guān)。不-粘貼舊文件

如果使用了自定義 JDBC 驅(qū)動程序， 請將其到 NEW_SONARQUBE_HOME/擴(kuò)展/jdbc 驅(qū)動程序/

備份數(shù)據(jù)庫

刪除數(shù)據(jù)/es 目錄

啟動新的 web 服務(wù)器

http://localhost:9000/setup (用您自己的 URL 替換 'localhost:9000') 來瀏覽并按照安裝說明進(jìn)行操作

這是一個太多的步驟， 手動執(zhí)行。因此， 我決定通過為它編寫一個 Ansible 的角色來實現(xiàn)自動化。

初始設(shè)置

在我開始編寫 Ansible 劇本之前，代理商sonarqube靜態(tài)安全掃描工具， 我需要找到一種方法來測試我的代碼。所以我開始與流浪漢旋轉(zhuǎn)了一個虛擬機， 并提供了一個簡單的腳本。這是需要有類似的環(huán)境， 以我們的實際 SonarQube 生產(chǎn)實例。我能夠增量地構(gòu)建我的 Ansible 劇本并在這個 VM 上測試它。很快我就明白了， 與流浪漢一起工作會減慢我的速度， 因為我需要重置環(huán)境， 而不是的預(yù)期。所以我決定考慮泊塢窗。

用于測試的泊塢窗

我找到了正式的 SonarQube 泊塢窗圖像， 但無法使用， 因為我們的 SonarQube 實例安裝在 CentOS 和官fang圖像使用不同的基礎(chǔ)圖像。另外， 我需要自定義特定的 SonarQube 版本我想開始。因此， 我創(chuàng)建了我們自己的 Dockerfile 與 CentOS 6 基地和 Ansible 安裝。

此泊塢窗映像不需要啟動 SonarQube， 因為我只是想驗證是否進(jìn)行了正確的文件更改， 而我的 Ansible 手冊沒有錯誤。升級的第yi步之一就是關(guān)閉服務(wù)器。

我將我的劇本裝入容器， 并在該容器內(nèi)運行 Ansible， 對該本地環(huán)境進(jìn)行了更改。

當(dāng)前腳本的路徑

TESTS_DIR = $ (cd '$ (dirname' $ {BASH_SOURCE [0]} ')' & & 密碼 '

# 命令測試劇本

TEST_COMMAND = 'cd/行動 & & ansible-劇本 $ @

-我 ' 本地主機 '-c

升級-聲納 database.yml '

# 運行容器安裝行動為卷

泊塢 run-v '$ TESTS_DIR/.。/行動/:/行動 '

'聲納-升級-測試'/'垃圾/bash-c' $ {TEST_COMMAND} '

在泊塢窗中運行我的劇本大大減少了反饋回路， 所以我決定泊塢窗是走的路。你可以看看我所有的腳本在 GitHub

Ansible 角色

我一步一步地往前走， 我到達(dá)了一個點， 一切似乎都在工作， 我有一個非常有用的 Ansible 的角色在我的手中。它尚未發(fā)布到 Ansible Galaxy， 但您可以在 GitHub 的 SonarQube 升級 Ansible 角色項目下找到源文件和文檔。

當(dāng)前 Ansible 角色通過在當(dāng)前位置旁邊創(chuàng)建新安裝來升級 SonarQube。這提供了回滾的方法 (如果需要)。

此時， 角色執(zhí)行以下任務(wù):

確保特定的根用戶存在于聲納安裝

在所有安裝所在的目錄中創(chuàng)建聲納. sh

確保 SonarQube 服務(wù)存在

停止 SonarQube

新版本

備份數(shù)據(jù)庫

和安裝插件

將自定義配置應(yīng)用于新實例

確保刪除數(shù)據(jù)/es

重新 SonarQube 服務(wù)啟動新版本

開始 SonarQube

手動步驟

這個過程仍然需要幾個手動步驟。

在運行升級手冊之前， 應(yīng)手動確保在升級過程中要安裝的插件列表是xin的。您可以從 SonarQube 的管理視圖中獲得xin支持的版本號。

根據(jù) SonarQube 的建議， 此 Ansible 角色不僅以前安裝的配置， 而且使用帶有變量的模板來為新實例創(chuàng)建配置。這意味著在執(zhí)行升級之前， 開發(fā)人員可以將模板和基本配置與新的 SonarQube 進(jìn)行比較。雖然這是一個手動步驟， 但與以前的操作相比， 它更容易， 因為可以使用 IDE 而不僅僅是從命令行中的 diff 工具進(jìn)行比較。

這兩個步驟都需要后續(xù)的手動升級， 我認(rèn)為這些升級準(zhǔn)備活動。