Jenkins 使用 SonarQube 扫描 Coding

系统环境：

Jenkins 版本：2.176
SonarQube 版本：7.4.0

一、SonarQube 介绍

1、SonarQube 简介

SonarQube 是一个用于代码质量管理的开源平台，用于管理源代码的质量。同时 SonarQube 还对大量的持续集成工具提供了接口支持，可以很方便地在持续集成中使用 SonarQube。此外， SonarQube 的插件还可以对 Java 以外的其他编程语言提供支持，对国际化以及报告文档化也有良好的支持。

2、SonarQube工作原理

SonarQube 并不是简单地将各种质量检测工具的结果直接展现给客户，而是通过不同的插件算法来对这些结果进行再加工，最终以量化的方式来衡量代码质量，从而方便地对不同规模和种类的工程进行相应的代码质量管理。

3、SonarQube 特性

多语言的平台：支持超过20种编程语言，包括Java、Python、C#、C/C++、JavaScript等常用语言。
自定义规则：用户可根据不同项目自定义Quality Profile以及Quality Gates。
丰富的插件： SonarQube 拥有丰富的插件，从而拥有强大的可扩展性。
持续集成：通过对某项目的持续扫描，可以对该项目的代码质量做长期的把控，并且预防新增代码中的不严谨和冗余。
质量门：在扫描代码后可以通过对“质量门”的比对判定此次“构建”的结果是否通过，质量门可以由用户定义，由多维度判定是否通过。

4、需要注意的代码质量问题

(1)、不遵循代码标准： SonarQube可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具规范代码编写。
(2)、糟糕的复杂度分布：文件、类、方法等，如果复杂度过高将难以改变，这会使得开发人员难以理解它们且如果没有自动化的单元测试，对于程序中的任何组件的改变都将可能导致需要全面的回归测试。
(3)、注释不足或者过多：没有注释将使代码可读性变差，特别是当不可避免地出现人员变动时，程序的可读性将大幅下降而过多的注释又会使得开发人员将精力过多地花费在阅读注释上，亦违背初衷。
(4)、缺乏单元测试： SonarQube 可以很方便地统计并展示单元测试覆盖率。
(5)、潜在的缺陷： –SonarQube 可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具检测出潜在的缺陷。
(6)、重复：显然程序中包含大量复制粘贴的代码是质量低下的，SonarQube 源码中重复严重的地方。
(7)、糟糕的设计

二、一般执行流程

在项目中一般流程为：

(1)、项目人员开发代码。
(2)、将代码推送到持久化仓库，如 Git。
(3)、Jenkins 进行代码拉取，然后利用 SonarQube 扫描器进行扫描分析代码信息。
(4)、将分析结果等信息上传至 SonarQube Server 服务器进行分类处理。
(5)、SonarQube 将分析结果等信息持久化到数据库，如 Mysql。
(6)、开发人员访问 SonarQube UI 界面访问，查看扫描出的结果信息进行项目优化。

这里只描述 Jenkins 如何与 SonarQube 集成

执行过程流程图

三、SonarQuke 配置

1、禁用SCM传感器

点击配置—SCM—Disable the SCM Sensor 将其关闭。

2、安装 JAVA 分析插件

由于这里要分析的项目是 JAVA 项目，所以需要确保安装 Java 语言分析插件，如果是别的类型的项目，可以类似安装相关分析插件即可。

点击配置—应用市场—插件搜索 SonarJava 插件安装

如果忘记安装，可能会导致 Jenkins 编译过程中提示没有语言插件的异常错误信息,确保一定要安装。

3、生成 Token

这里生成验证用的 Token 字符串，用于 Jenkins 在执行流水线时候将待检测信息发送到 SonarQube 时候用于的安全验证。

点击头像—我的账号—安全—生成令牌生成验证的 Token。

因为此 Token 不会显示第二次，所以这里记住此 Token。

四、Jenkins 安装插件

1、需要安装的插件介绍

Jenkins 先提前安装好可能需要用到的插件，这里需要用到一下插件：

Maven Integration

Maven 插件，用于编译 Maven 项目和安装 Maven 工具到任务中。

Pipeline Utility Steps

参考：https://jenkins.io/doc/pipeline/steps/pipeline-utility-steps/

用于在 Pipeline 执行过程中操作文件“读/写”的插件，这里用其创建 Sonar properties 配置文件。

SonarQube Scanner

参考：https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner+for+Jenkins

SonarQube 是一种用于连续检查代码质量的开源平台，该插件可轻松与 SonarQube 集成。

2、安装 SonarQube Scanner 插件

打开系统管理—插件管理—可选插件输入 sonarqube 进行插件筛选，如下如方式进行安装。

关于安装 Pipeline Utility Steps 与 Maven Integration 插件和上面类似，请自行安装即可，这里不过多描述。

五、Jenkins 配置插件

1、连接 SonarQube 配置

打开系统管理—系统设置—SonarQube servers 配置下面属性

参数说明：

Name：用于 Jenklins Pipeline 中构建环境指定的名称，在 Pipeline 脚本中会用到，自定义即可。
Server URL： SonarQube 地址。
Server authentication token：用于连接 SonarQube 的 Token，将上面 SonarQube 中生成的 Token 输入即可。

2、配置 SonarQube Scanner 插件

打开系统管理—全局工具配置—SonarQube Scanner 输入 Name，选择最新版本点击自动安装即可

3、配置 Maven 插件

打开系统管理—全局工具配置—Maven 输入 Name，选择最新版本点击自动安装即可

六、创建流水线项目写 Pipeline 脚本

1、创建流水线任务

2、设置 SonarQube 配置文件

(1)、Sonar 配置文件说明

在使用 SonarQube 来进行代码扫描时候需要一个名称为 sonar-project.properties 的配置文件。该文件设置了项目的一些属性用于 SonarQube 扫描的属性。

例如，设置项目在 Sonar 面板中的唯一标识 Key，项目名称及其版本，要扫描项目的语言类型等等。

sonar-project.properties

sonar.projectKey=key:value
sonar.projectName=ProjectName
sonar.projectVersion=1.0.0
sonar.sources=src
sonar.language=java
sonar.sourceEncoding=UTF-8
sonar.java.binaries=target/classes
sonar.java.source=1.8
sonar.java.target=1.8

配置参数：

sonar.projectKey：项目在 SonarQube 的唯一标识，不能重复
sonar.projectName=ProjectName：项目名称
sonar.projectVersion：项目版本
sonar.language：项目语言，例如 Java、C#、PHP 等
sonar.sourceEncoding：编码方式
sonar.sources：项目源代码目录
sonar.java.binaries：编译后 class 文件目录

(2)、Sonar 配置文件存放位置

这个文件可以放在源代码根目录中，也可是设置到 Jenkins 变量。

① ————————方式一：放置到源代码———————————————–

直接在源代码中放置文件 sonar-project.properties，然后在此配置文件中设置这些配置参数。

② ————————方式二：设置到变量并在 Jenkins 编译时候创建————————

可以设置文本到环境变量中，在变量文本中设置哪些配置参数，之后在执行 Pipeline 脚本时候利用 “Pipeline Utility Steps” 插件的创建文件方法创建 sonar-project.properties 文件。

在 Jenkins sonar-qube-coding 任务—>配置—>参数化构建过程—>添加参数—>文本参数输入 Sonar 配置。

变量名称：sonar_project_properties
变量内容：

sonar.sources=src
sonar.language=java
sonar.sourceEncoding=UTF-8
sonar.java.binaries=target/classes
sonar.java.source=1.8
sonar.java.target=1.8

注意:这里不设置 sonar.projectKey、sonar.projectName、sonar.projectVersion 这三个参数，将三个参数在执行 Pipeline 脚本的时候设置。

这里为了配置更灵活方便，所以采用将 SonarQube 配置设置到环境变量

3、创建 Pipeline 脚本

配置 Jenkins 任务，创建脚本并加入到 “流水线” 配置项中

// 设置超时时间为10分钟，如果未成功则结束任务
timeout(time: 600, unit: 'SECONDS') {
node () {
stage('Git 拉取阶段'){
// Git 拉取代码
git branch: "master" ,changelog: true , url: "https://github.com/a324670547/springboot-helloworld"
}
stage('Maven 编译阶段') {
// 设置 Maven 工具,引用先前全局工具配置中设置工具的名称
def m3 = tool name: 'maven'
// 执行 Maven 命令
sh "${m3}/bin/mvn -B -e clean install -Dmaven.test.skip=true"
}
stage('SonarQube 扫描阶段'){
// 读取maven变量
pom = readMavenPom file: "./pom.xml"
// 创建SonarQube配置文件
writeFile file: 'sonar-project.properties',
text: """sonar.projectKey=${pom.artifactId}:${pom.version}\n"""+
"""sonar.projectName=${pom.artifactId}\n"""+
"""sonar.projectVersion=${pom.version}\n"""+
"""${sonar_project_properties}"""
// 设置 SonarQube 代码扫描工具,引用先前全局工具配置中设置工具的名称
def sonarqubeScanner = tool name: 'sonar-scanner'
// 设置 SonarQube 环境,其中参数设置为之前系统设置中SonarQuke服务器配置的 Name
withSonarQubeEnv('jenkins') {
// 执行代码扫描
sh "${sonarqubeScanner}/bin/sonar-scanner"
}
}
}
}

七、执行 Jenkins 任务

1、执行 Jenkins Pipeline 任务

点击 Build with Parameters 执行 Jenkins 任务

2、查看任务执行日志

查看日志信息为：

......
[Pipeline] { (Git 拉取阶段)
[Pipeline] echo
Git 阶段
> git rev-parse --is-inside-work-tree # timeout=10
Fetching changes from the remote Git repository
> git config remote.origin.url https://github.com/a324670547/springboot-helloworld # timeout=10
Fetching upstream changes from https://github.com/a324670547/springboot-helloworld
> git --version # timeout=10
> git fetch --tags --progress https://github.com/a324670547/springboot-helloworld
Commit message: "修改jenkinsfile"
> git rev-list --no-walk a34691106075d58bc99d9dcc06f5eadcc03ca759 # timeout=10
[Pipeline] { (Maven 编译阶段)
[Pipeline] tool
+ /var/jenkins_home/tools/hudson.tasks.Maven_MavenInstallation/maven/bin/mvn -B -e clean install -Dmaven.test.skip=true
[INFO] Error stacktraces are turned on.
[INFO] Scanning for projects...
[INFO]
[INFO] ------------------< club.mydlq:springboot-helloworld >------------------
[INFO] Building springboot-helloworld 0.0.1
[INFO] --------------------------------[ jar ]---------------------------------
[INFO]
[INFO] --- maven-clean-plugin:3.1.0:clean (default-clean) @ springboot-helloworld ---
[INFO] Deleting /var/jenkins_home/workspace/sonar-qube-coding/target
[INFO]
[INFO] --- maven-resources-plugin:3.1.0:resources (default-resources) @ springboot-helloworld ---
[INFO] Using 'UTF-8' encoding to copy filtered resources.
[INFO] Copying 1 resource
[INFO] Copying 0 resource
[INFO]
[INFO] --- maven-compiler-plugin:3.8.0:compile (default-compile) @ springboot-helloworld ---
[INFO] Changes detected - recompiling the module!
[INFO] Compiling 2 source files to /var/jenkins_home/workspace/sonar-qube-coding/target/classes
[INFO]
[INFO] --- maven-resources-plugin:3.1.0:testResources (default-testResources) @ springboot-helloworld ---
[INFO] Not copying test resources
[INFO]
[INFO] --- maven-compiler-plugin:3.8.0:testCompile (default-testCompile) @ springboot-helloworld ---
[INFO] Not compiling test sources
[INFO]
[INFO] --- maven-surefire-plugin:2.22.1:test (default-test) @ springboot-helloworld ---
[INFO] Tests are skipped.
[INFO]
[INFO] --- maven-jar-plugin:3.1.1:jar (default-jar) @ springboot-helloworld ---
[INFO] Building jar: /var/jenkins_home/workspace/sonar-qube-coding/target/springboot-helloworld-0.0.1.jar
[INFO]
[INFO] --- spring-boot-maven-plugin:2.1.4.RELEASE:repackage (repackage) @ springboot-helloworld ---
[INFO] Replacing main artifact with repackaged archive
[INFO]
[INFO] --- maven-install-plugin:2.5.2:install (default-install) @ springboot-helloworld ---
[INFO] Installing /var/jenkins_home/workspace/sonar-qube-coding/target/springboot-helloworld-0.0.1.jar to /root/.m2/repository/club/mydlq/springboot-helloworld/0.0.1/springboot-helloworld-0.0.1.jar
[INFO] Installing /var/jenkins_home/workspace/sonar-qube-coding/pom.xml to /root/.m2/repository/club/mydlq/springboot-helloworld/0.0.1/springboot-helloworld-0.0.1.pom
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 3.695 s
[INFO] Finished at: 2019-05-09T17:59:45Z
[INFO] ------------------------------------------------------------------------
[Pipeline] }
[Pipeline] { (SonarQube 扫描阶段)
[Pipeline] readMavenPom
[Pipeline] writeFile
[Pipeline] tool
[Pipeline] withSonarQubeEnv
Injecting SonarQube environment variables using the configuration: jenkins
[Pipeline] {
[Pipeline] sh
+ /var/jenkins_home/tools/hudson.plugins.sonar.SonarRunnerInstallation/sonar-scanner/bin/sonar-scanner
INFO: Scanner configuration file: /var/jenkins_home/tools/hudson.plugins.sonar.SonarRunnerInstallation/sonar-scanner/conf/sonar-scanner.properties
INFO: Project root configuration file: /var/jenkins_home/workspace/sonar-qube-coding/sonar-project.properties
INFO: SonarQube Scanner 3.3.0.1492
INFO: Java 1.8.0_212 Oracle Corporation (64-bit)
INFO: Linux 3.10.0-957.1.3.el7.x86_64 amd64
INFO: User cache: /root/.sonar/cache
INFO: SonarQube server 7.4.0
INFO: Default locale: "en", source code encoding: "UTF-8"
INFO: Publish mode
INFO: Load global settings
INFO: Load global settings (done) | time=89ms
INFO: Server id: D549D2A8-AWpYoogtP1ytl0VN9Fsr
INFO: User cache: /root/.sonar/cache
INFO: Load/download plugins
INFO: Load plugins index
INFO: Load plugins index (done) | time=31ms
INFO: Plugin [l10nzh] defines 'l10nen' as base plugin. This metadata can be removed from manifest of l10n plugins since version 5.2.
INFO: Load/download plugins (done) | time=38ms
INFO: Loaded core extensions:
INFO: Process project properties
INFO: Load project repositories
INFO: Load project repositories (done) | time=11ms
INFO: Load quality profiles
INFO: Load quality profiles (done) | time=32ms
INFO: Load active rules
INFO: Load active rules (done) | time=201ms
INFO: Load metrics repository
INFO: Load metrics repository (done) | time=24ms
INFO: Project key: springboot-helloworld:0.0.1
INFO: Project base dir: /var/jenkins_home/workspace/sonar-qube-coding
INFO: ------------- Scan springboot-helloworld
INFO: Base dir: /var/jenkins_home/workspace/sonar-qube-coding
INFO: Working dir: /var/jenkins_home/workspace/sonar-qube-coding/.scannerwork
INFO: Source paths: src
INFO: Source encoding: UTF-8, default locale: en
INFO: Load server rules
INFO: Load server rules (done) | time=109ms
INFO: Language is forced to java
INFO: Index files
WARN: File '/var/jenkins_home/workspace/sonar-qube-coding/src/main/resources/application.yaml' is ignored because it doesn't belong to the forced language 'java'
INFO: 2 files indexed
INFO: Quality profile for java: Sonar way
INFO: Sensor JavaSquidSensor [java]
INFO: Configured Java source version (sonar.java.source): 8
INFO: JavaClasspath initialization
WARN: Bytecode of dependencies was not provided for analysis of source files, you might end up with less precise results. Bytecode can be provided using sonar.java.libraries property.
INFO: JavaClasspath initialization (done) | time=8ms
INFO: JavaTestClasspath initialization
INFO: JavaTestClasspath initialization (done) | time=0ms
INFO: Java Main Files AST scan
INFO: 2 source files to be analyzed
INFO: 2/2 source files have been analyzed
INFO: Java Main Files AST scan (done) | time=609ms
INFO: Java Test Files AST scan
INFO: 0 source files to be analyzed
INFO: Java Test Files AST scan (done) | time=1ms
INFO: Sensor JavaSquidSensor [java] (done) | time=1334ms
INFO: Sensor SurefireSensor [java]
INFO: 0/0 source files have been analyzed
INFO: parsing [/var/jenkins_home/workspace/sonar-qube-coding/target/surefire-reports]
INFO: Sensor SurefireSensor [java] (done) | time=55ms
INFO: Sensor JaCoCoSensor [java]
INFO: Sensor JaCoCoSensor [java] (done) | time=2ms
INFO: Sensor JavaXmlSensor [java]
INFO: Sensor JavaXmlSensor [java] (done) | time=0ms
INFO: Sensor Zero Coverage Sensor
INFO: Sensor Zero Coverage Sensor (done) | time=8ms
INFO: Sensor Java CPD Block Indexer
INFO: Sensor Java CPD Block Indexer (done) | time=10ms
INFO: SCM Publisher is disabled
INFO: 2 files had no CPD blocks
INFO: Calculating CPD for 0 files
INFO: CPD calculation finished
INFO: Analysis report generated in 114ms, dir size=13 KB
INFO: Analysis reports compressed in 39ms, zip size=6 KB
INFO: Analysis report uploaded in 671ms
INFO: ANALYSIS SUCCESSFUL, you can browse http://10.2.5.143:9000/dashboard?id=springboot-helloworld%3A0.0.1
INFO: Note that you will be able to access the updated dashboard once the server has processed the submitted analysis report
INFO: More about the report processing at http://10.2.5.143:9000/api/ce/task?id=AWqdwF0moB4s4osu4wHu
INFO: Task total time: 3.412 s
INFO: ------------------------------------------------------------------------
INFO: EXECUTION SUCCESS
INFO: ------------------------------------------------------------------------
INFO: Total time: 4.469s
INFO: Final Memory: 10M/158M
INFO: ------------------------------------------------------------------------
......
Finished: SUCCESS

八、SonarQube 查看代码扫描结果