Sonar简介

Sonar是一个用于代码质量管理的开源平台，用于管理源代码的质量，可以从七个维度检测代码质量

通过插件形式，可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测

Sonar是从七个维度检测代码质量，而作为开发人员至少需要处理前5中代码质量问题。

sonarQube能带来什么？

1没有代码标准,不遵循代码标准 sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具规范代码编写

2潜在的bug,潜在的缺陷  sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具检测出潜在的bug

3糟糕的复杂度分布  文件、类、方法等，如果复杂度过高将难以改变，这会使得开发人员难以理解它们，且如果没有自动化的单元测试，对于程序中的任何组件的改变都将可能导致需要全面的回归测试

4重复 显然程序中包含大量复制粘贴的代码是质量低下的,sonar可以展示源码中重复严重的地方

5没有足够的或者过多的注释 没有注释将使代码可读性变差，特别是当不可避免地出现人员变动时，程序的可读性将大幅下降,而过多的注释又会使得开发人员将精力过多地花费在阅读注释上

6缺乏单元测试 sonar可以很方便地统计并展示单元测试覆盖率

7糟糕的设计（原文Spaghetti Design，意大利面式设计）  通过sonar可以找出循环，展示包与包、类与类之间的相互依赖关系  可以检测自定义的架构规则  通过sonar可以管理第三方的jar包  可以利用LCOM4检测单个任务规则的应用情况  检测耦合

tips：PMD，CheckStyle，Findbugs这些工具都叫静态代码分析工具。什么是静态代码分析？静态代码分析是指无需运行被测代码，仅通过分析或检查源程序的语法、结构、接口等来检查程序的正确性，找出代码隐藏的错误或缺陷，如参数不匹配，有歧义的嵌套语句，错误的递归，非法计算，空指针引用等。

Checkstyle

Checkstyle是一个开源工具，可以帮助实施编码标准和最佳实践，特别注重编码惯例。

虽然Checkstyle涵盖了一些静态代码分析功能（与PMD和Findbug的方式大致相同），但是我们将主要在Checkstyle检测和执行编码编写规范

PMD

PMD是一种静态代码分析工具，能够自动检测范围很广的潜在缺陷和不安全或非优化的代码（不良做法）。 而其他工具（如Checkstyle）可以检查编码约定（规范）和标准，PMD更侧重于缺陷检测（确保遵循良好做法）。 它附带了丰富且高度可配置的规则集，可以轻松地配置给定项目应使用哪些特定规则。

例如：

捕捉异常而不做任何事情

死循环代码

太多复杂的方法

直接使用实现而不是接口

实现或重写了hashcode()没有实现或重写equals（Object object）方法

返回对可变对象的引用可能会对外暴露内部实现

Findbug

Findbug是Java的另一个静态分析工具，在某些方面类似于Checkstyle和PMD，但是具有不同的重点。

Findbug不关心格式化或编码标准，它的目标是检测潜在的错误和性能问题。它很擅长做这类检查。可以检测到许多常见但难以发现的错误。

Findbug能够以比较高的精度检测出与PMD或Checkstyle不同的问题。 因此，它可以是一个有用的补充。

为什么要选择sonarQube？

到目前为止

没有哪个CI工具可以提供良好的钻取功能。

没有CI插件可以将所有的软件质量的度量数据整合到一起。

没有CI插件提供管理视角。

没有设计/架构问题相关的CI插件

没有CI工具或插件提供整体项目质量的仪表盘。

但是sonarQube都有，而且相比于阿里编码规约这种市面上常见类似软件，能提供但不限如下优点

1更加优秀的图形化界面，基本上通过界面就可以对自己项目的代码状况一目了然

2可以查询出其它软件难以定位到的问题

a可能导致空指针异常的问题 (对象在进行使用前没有加空的判断)       

b可能导致内存泄漏的问题, 在try catch 块里面,直接使用e.printStackTrace()将堆栈 信息打印到内存的

c可能导致的漏洞，成员变量使用public定义的

d流等未关闭或者是非正常关闭都能够检测出来

............

Sonar组成

sonarqube系统是一个代码质量检测工具 由以下四个组件组成

1一个sonarqube服务器，包含三个子进程（web服务（界面管理），搜索服务，计算引擎服务 （写入数据库））

2一个sonarqube数据库，配置sonarqube服务   

3多个sonarqube插件，位于解压目录extensions\plugins目录   

4一个或者多个sonarqube scanners用于分析特定的项目，相当于客户端

Sonar工作流程

通过客户端插件分析源代码，sonar客户端可以采用IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式，并通过各种不同的分析机制对项目源代码进行分析和扫描，并把分析扫描后的结果上传到sonar的数据库，通过sonar web界面对分析结果进行管理

Sonar安装前准备

要求：

Centos7, jdk8，mysql 5.6-5.7, sonarqube-6.7.6(LTS)

请先确保linux已经安装了jdk8，并且已经配置好了环境变量

tips：Sonar是基于Java开发的，因此运行Sonar自然需要JDK

Sonar安装前准备

CentOS中默认安装有MariaDB，这个是MySQL的分支，但为了需要，还是要在系统中安装MySQL，而且安装完成之后可以直接覆盖掉MariaDB。

1下载YUM源（http://dev.mysql.com/downloads/repo/yum/）

wget http://dev.mysql.com/get/mysql57-community-release-el7-8.noarch.rpm

2安装mysql源

yum localinstall mysql57-community-release-el7-8.noarch.rpm

3检查mysql源是否安装成功

yum repolist enabled | grep "mysql.*-community.*"

安装MySQL

yum install mysql-community-server

启动Mysql服务

systemctl start mysqld

根据自己需求是否设置开机自启动

systemctl enable mysqld

systemctl daemon-reload

修改root本地登录密码，mysql安装完成之后，在/var/log/mysqld.log文件中给root生成了一个默认

密码。通过下面的方式找到root默认密码，然后登录mysql进行修改：

grep 'temporary password' /var/log/mysqld.log

mysql -uroot–p

ALTER USER 'root'@'localhost' IDENTIFIED BY '123';

tips：mysql5.7默认安装了密码安全检查插件（validate_password），默认密码检查策略要求密码必须包含：

大小写字母、数字和特殊符号，并且长度不能少于8位。修改策略之后再执行修改密码

1 set global validate_password_policy=0;

2 set global validate_password_policy=LOW;

Sonar要求mysql必须是InnoDB存储引擎

1查看mysql目前是什么存储引擎

mysql  -u root–p 先登录mysql

    show engines; 查看mysql目前提供的存储引擎

如果不是InnoDB，设置为InnoDB，修改配置文件/etc/my.cnf

vi /etc/my.cnf

[mysqld]

default-storage-engine=INNODB

重启mysql数据库，再次登录查看默认存储引擎设置是否生效

service mysqld restart

设置mysql缓存参数

a设置innodb_buffer_pool_size,参数值设置尽可能大一些，这个参数主要是缓存InnoDB表的索引，数据，插入数据时的缓冲

默认值：128M，我们这里设置为256M

b设置mysql的查询缓存quert_cache_size的开关为1，然后设置最少15M，重启mysql数据库

查看缓存设置是否生效

show variables like '%query_cache%';

1在mysql中新建一个sonarQube数据库（UTF-8编码）

2从官网下载最新LTS版本的sonarQuba安装包（sonarqube-6.7.6.zip）

a linux命令行下执行下载：

wget https://binaries.sonarsource.com/Distribution/sonarqube/sonarqube-6.7.6.zip注：网络不是太好翻墙才下载下来

解压安装并更名

unzip sonarqube-6.7.6.zip

mv sonarqube-6.7.6 sonarQube

之前介绍组成的时候说sonarqube是sonar的服务端，相当于一个web服务器，用来发布应用，在线浏览、配置分析等。怎么样？有没有很面熟的感觉？是不是有点像tomcat呢？

bin：sonarqube运行命令文件夹   

conf：sonarqube配置文件夹   

data：嵌入式数据库的数据（H2数据库引擎），建议只用于测试和演示   

elasticsearch：搜索引擎

extensions：sonarqube的插件等存放文件夹   

lib：sonarqube存放的运行库文件夹（jar）   

logs：sonarqube日志文件夹   

temp：sonarqube临时文件夹   

web：sonarqube系统UI界面文件夹

编辑sonar配置

cd sonarQube/conf/

vi sonar.properties

Mysql数据用户名

sonar.jdbc.username=root

sonar.jdbc.password=5462837zhu

配置mysql数据库

sonar.jdbc.url=jdbc:mysql://localhost:3306/sonarQube?useUnicode=true&characterEncodixxxx

设置sonar服务

sonar.web.host=0.0.0.0

sonar.web.context=/sonarQube

sonar.web.port=9000

启动sonarQube web service，第一次启动会自动在数据库生成所需的表，可进入数据库查看下

sh sonar.sh start

浏览器中输入：http://192.168.1.149:9000/sonarQube

Sonar安装注意的坑

由于6.6版本加入了elasticsearch，不能以root用户启动，因为安全问题elasticsearch

不让用root用户直接运行，所以要创建新用户，用新用户启动

//创建esuser用户

//目录组和用户都是esuser

//sonarqube文件设置777 //编写配置文件

# useradd esuser

# chown -R esuser.esuser sonar6.7.6

# chmod 777 -R sonarqube-6.7.5

# vi sonar6.7.6/sonarQube/elasticsearch/config/elasticsearch.yml

//开启端口和指定服务

network.host: 192.168.1.149（请填写自己服务器的ip）

http.port: 9200

如果启动中出现错误：如：

max file descriptors [4096] for elasticsearch process likely too low, increase to at least [65536]

max virtual memory areas vm.max_map_count [65530] likely too low, increase to at least [262144]

解决65536：

切换到root用户，进入limits.d目录下修改配置文件。

vi /etc/security/limits.conf 

添加如下内容:

* soft nofile 65536

* hard nofile 131072

* soft nproc 2048

* hard nproc 4096

解决262144：

切换到root用户修改配置sysctl.conf

vi /etc/sysctl.conf 

添加下面配置：

vm.max_map_count=655360

并执行命令：

sysctl–p

Sonar web下载汉化包

帐号密码默认都为：admin，登录之后下载中文汉化包，然后重启sonarQube：sh sonar.sh restart

大家现在常用的都是谷歌浏览器可以直接翻译不需要汉化也可以

使用SonarQube Scanner分析代码

1从官网下载scanner对应的版本后直接解压 ：

      https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner

2通过编辑xxxx/conf/sonar-scanner.properties更新全局设置以指向SonarQube服务器  ：

sonar.host.url = http://192.168.1.149:9000/sonarQube

将xxxx/bin设置到环境变量PATH中

在命令行输入sonar-scanner –h，验证安装结果

INFO:

INFO: usage: sonar-scanner [options]

INFO:

INFO: Options:

INFO:  -D,--define <arg>     Define property

INFO:  -h,--help             Display help information

INFO:  -v,--version          Display version information

INFO:  -X,--debug            Produce execution debug

使用SonarQube Scanner分析代码

在需要分析的项目根目录中创建配置文件：sonar-project.properties

#当前项目实例的唯一表示

sonar.projectKey=kafka

#显示在sonarqube 界面上的项目名称

sonar.projectName=kafka

sonar.projectVersion=1.0

#相对于当前配置文件目录 下的源代码目录 不管什么平台路径分隔符只能有  / 不能使用\

sonar.sources=src/main/java

#源代码的字符集

#sonar.sourceEncoding=UTF-8

从需要分析的项目根目录运行以下命令以启动分析，出现执行EXECUTION SUCCESS表示成功

…………………….

INFO: Task total time: 9.250

INFO: -----------------------

INFO: EXECUTION SUCCESS

INFO: -----------------------

INFO: Total time: 15.389s

INFO: Final Memory: 17M/326M

登录sonarQube Web查看结果

使用SonarQube Maven插件分析代码

编辑位于$MAVEN_HOME/conf或〜/ .m2中的settings.xml文件，设置SonarQube服务器URL。

<profile>

            <id>sonar</id>

            <activation>

<activeByDefault>true</activeByDefault>

            </activation>

            <properties>

<sonar.host.url>http://192.168.1.149:9000/sonarQube</sonar.host.url>

</properties>

</profile>

分析Maven项目，运行Maven目标：sonar:sonar在pom.xml文件所在的目录中

mvn sonar:sonar

登录sonarQube Web查看结果

可以详细查看每个bug的具体问题描述 以及在stackoverflow中存在并推荐的标准解决方案，可以分配给具体用户进行跟进解决

简介SonarQube Web使用

1质量阀

SonarQube Web管理者通过配置和设置以下参数值对项目源代码进行：

复杂度、覆盖率、文档、重复、问题、可维护性、可靠性、安全性、大小等约束和规范。

2配置

系统：系统信息

应用市场：下载，更新，卸载插件

项目：创建、编辑、修改、删除(批量)SonarQube项目，查看分析记录

权限：新建用户组，用户，角色，设置角色到项目，以及提供一些默认的角色模版

配置：Java：配置检查的java源文件及静态代码检查规范检查 

SCM：配置软件控制器。上文已经提到的配置项。比如：svn、git等等 

设置数据库清理，界面等等

3质量配置

查看目前支持的语言插件，查看插件配置的规则，新建规则配置项

4代码规则

查看各个语言提供的规则，分配规则到配置项等

5问题

查看每个项目分析出来的问题，查看问题等

6项目

查看各个项目的问题总数等