大家好，我叫董鑫，一名在測試開發(fā)道路上的新手。第一階段的學(xué)習(xí)已然結(jié)束，收獲頗多，了解了很多在自己平時(shí)測試工作無法接觸到的新知識(shí)，比如這次在這里分享的Sonarqube進(jìn)行靜態(tài)代碼掃描并集成Jenkins的知識(shí)，是分享也是自我學(xué)習(xí)的總結(jié)。若有不對(duì)的地方，還請(qǐng)各位同行，同學(xué)，老師及時(shí)指正。

1. 什么是SonarQube

SonarQube是一個(gè)開源的代碼質(zhì)量管理系統(tǒng)，用于檢測代碼中的錯(cuò)誤，漏洞和代碼規(guī)范，通過插件的機(jī)制，

可以基于現(xiàn)有的Gitlab、Jenkins 集成、以便在項(xiàng)目拉取后進(jìn)行連續(xù)的代碼檢查。

優(yōu)點(diǎn)：

◆ 支持眾多計(jì)算機(jī)編程語言

◆ 通過插件機(jī)制能集成IDE、Jenkins、Git等

◆ 內(nèi)置大量常用代碼檢查規(guī)則

◆ 支持定制開發(fā)規(guī)則

◆ 可視化界面

◆ 支持從可靠性、安全性、可維護(hù)性、覆蓋率、重復(fù)率等 方面分析項(xiàng)目

具體的配置及文檔可以訪問下面的鏈接查看：

https://www.sonarqube.org/downloads/ 
https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/ 

2. Jenkins插件安裝及配置

Sonarqube想要與Jenkins集成，需要安裝相應(yīng)的插件來支持。

在插件管理中搜索名為Sonarqube Scanner for Jenkins的插件 并安裝。

安裝好插件后，還需要配置相應(yīng)的服務(wù)和工具信息：

2.1. 系統(tǒng)設(shè)置->SonarQube servers

• name：可自定義）
• server url：這個(gè)地址就是你sonar服務(wù)所在的地址
• token：在sonar項(xiàng)目中生成的token

2.2. 全局工具配置》SonarQube Scanner

建議不采用自動(dòng)安裝，使用手動(dòng)下載配置好的sonar scanner

• name：自定義sonar scanner名稱，建議使用sonar-scanner
• SONAR_RUNNER_HOME：sonar scanner所在的家目錄

3. 自由風(fēng)格的job使用sonar

3.1 配置代碼倉庫地址：

3.2 勾選sonarqube 服務(wù)并選擇token:

3.3 在構(gòu)建中添加Exeute SonarQube Sanner

這里可以使用兩種方式：

• a. 直接將sonar-project.properties配置內(nèi)容寫到 Analysis properties 中
• b. 將配置好的sonar-project.properties文件放置在代碼目錄中，在 Path to project properties 配置相應(yīng)的文件名

建議使用第二種方式來管理
我配置的sonar-project.properties文件如下：

保存好后，就可以來構(gòu)建了。構(gòu)建后項(xiàng)目頁面可以直接跳轉(zhuǎn)到sonarqube服務(wù)查看。

4. pipeline流水線使用sonar

4.1 構(gòu)建一個(gè)流水線job，流水線pipeline script如下編寫：

pipeline {
    agent any

    stages {
        stage('拉取代碼') {
            steps {
                git credentialsId: 'gitee', url: 'https://gitee.com/dx0001/work.git'
            }
        }
        stage('靜態(tài)代碼靜態(tài)掃描') {
            steps {
                withSonarQubeEnv('sonarqube'){
                    bat "sonar-scanner"
                }
            }
        }
    }    

注意： 這里的名稱是在Jenkins中系統(tǒng)管理--sonarqube servers添加的名稱
同樣的，設(shè)置好job后就可以構(gòu)建進(jìn)行代碼掃描了。

5. 接入Sonar質(zhì)量門禁

通過上面的job，只是代碼掃描可能無法滿足日常的情況，當(dāng)掃描的結(jié)構(gòu)不滿足時(shí)我可能就不進(jìn)行后面的步驟了，這樣的情況，我們就需要接入質(zhì)量門禁的方式來實(shí)現(xiàn)。

5.1 在sonar服務(wù)端的質(zhì)量閥中設(shè)置質(zhì)量門禁，添加要運(yùn)用的項(xiàng)目

質(zhì)量配置->質(zhì)量閥

這里可以添加指標(biāo)來定義通過掃描的條件。然后將設(shè)置的質(zhì)量閥分配給要掃描的項(xiàng)目。

5.2 在sonar服務(wù)端的配置里面添加網(wǎng)絡(luò)調(diào)用hook

配置->網(wǎng)絡(luò)調(diào)用

這里添加Jenkins調(diào)用的地址，用來回調(diào)掃描的結(jié)果。URL配置為：Jenkins地址+/sonarqube-webhook

5.3 流水線改造

pipeline {
    agent any

    stages {
        stage('拉取代碼') {
            steps {
                git credentialsId: 'gitee', url: 'https://gitee.com/dx0001/work.git'
            }
        }
        stage('靜態(tài)代碼靜態(tài)掃描') {
            steps {
                withSonarQubeEnv('sonarqube'){
                    bat "sonar-scanner"
                }
            }
        }
        stage('檢查結(jié)果分析') {
            steps {
                script{
                    timeout(5){
                        def qg=waitForQualityGate()
                        echo "結(jié)果狀態(tài)：${qg.status}"
                        if(qg.status!='OK')
                            error '未達(dá)到代碼門禁要求！'
                    }
                }
            }
        }
    }
}

在上面的流水線的job上增加一個(gè)“檢查結(jié)果分析”的步驟，使用waitForQualityDate()的方法來獲取掃描是否通過質(zhì)量閥的狀態(tài)值。最后使用if條件來判斷，不通過時(shí)則使用“error”來中斷流程，實(shí)現(xiàn)質(zhì)量門禁的功能。

6. 小結(jié)

此次分享就到這里了，更多的是自我知識(shí)沉淀的過程，第一階段的學(xué)習(xí)雖已結(jié)束，但對(duì)于我更多的是開始，很多的知識(shí)需要自己動(dòng)手搭環(huán)境來實(shí)踐，我很享受這個(gè)過程。將一個(gè)個(gè)知識(shí)落實(shí)，弄清楚，是一件令我非常高興的事情。接觸并學(xué)習(xí)更多測試開發(fā)的知識(shí)，在測試的道路上越走越寬，越走越遠(yuǎn)，為此，奮力前進(jìn)！