SonarQube 扫描 Java 代码

SonarQube 扫描 Java 代码

环境

需要提前安装好 SonarQube7.9，安装步骤见 Docker 安装 SonarQube

步骤

填写项目名 my_project



填写token名 my_token



生成一个秘钥，后面用的到。

安装 sonarqube 客户端，用户扫描代码，先创建安装目录

mkdir -p /usr/local/sonarqube/sonar-scanner-cli && cd /usr/local/sonarqube/sonar-scanner-cli

下载客户端

wget https://binaries.sonarsource.com/Distribution/sonar-scanner-cli/sonar-scanner-cli-4.2.0.1873-linux.zip

解压

unzip sonar-scanner-cli-4.2.0.1873-linux.zip

在 /etc/profile 的末尾添加环境变量

export SONAR_SCANNER_HOME=/usr/local/sonarqube/sonar-scanner-cli/sonar-scanner-4.2.0.1873-linux
export PATH=$SONAR_SCANNER_HOME/bin:$PATH

环境变量立即生效

source /etc/profile

测试客户端是否配置正确

sonar-scanner -v

创建工作目录

mkdir -p /usr/local/sonarqube/workspace && cd /usr/local/sonarqube/workspace

拉取一个开源项目 jmx_exporter 做测试

git clone https://github.com/prometheus/jmx_exporter.git

最终，我的代码目录（因为一直超时，我手动下载了代码）：

/usr/local/sonarqube/workspace/jmx_exporter-master

在项目目录创建扫描配置文件 /usr/local/sonarqube/workspace/jmx_exporter-master/sonar-project.properties，各配置项如下：

# 项目名，如果项目名不存在会自动创建该项目
sonar.projectKey=my_project
# 源码路径，设置为当前目录
sonar.sources=.
# SonarQube 访问地址，根据实际情况填写
sonar.host.url=http://192.168.10.227:9000
# token，在 SonarQube 中创建的 token，只有 SonarQube 开起了强制用户认证，才需要 token，默认情况下，强制用户认证是关闭的。
sonar.login=c4765957e5ada82ebe21a7c2e1f56afbff4059d3
# 语言类型
sonar.language=java
# 二进制文件目录，就是 .class 文件的目录，只有部分项目需要该配置
sonar.java.binaries=collector/target/classes,jmx_prometheus_httpserver/target/classes,jmx_prometheus_javaagent/target/classes
# 源代码编码格式
sonar.sourceEncoding=UTF-8

进入项目目录

cd /usr/local/sonarqube/workspace/jmx_exporter-master/

需要先编译项目，主要是为了生成 .classs 文件

mvn clean package

执行扫描

sonar-scanner

待扫描结束，可以在浏览器看到扫描结果

安装扫描插件

扫描某种语言，需要安装对应语言的插件，如果没有，可以去应用市场安装该插件，例如 Java 需要安装 SonarJava 插件。



这个插件不小，耐心等待，安装完毕会提示重启。

# 也可以提前下载好这些插件包，放到下面任意目录

# 插件会被下载到这个目录
${SONAR_HOME}/extensions/downloads
# 重启后，插件会被安装到这个目录
${SONAR_HOME}/extensions/plugins

重启 SonarQube

docker-compose restart