搭建Sonarqube 代码质量扫描环境

最近在给公司搞代码质量管理，因为之前出了线上事故，以前都没人关注的，代码风格五花八门，尤其是前端代码，因为最新的 TypeScript 是支持类型注释的，而很多前端程序员使用 JS 时间比较长，一下子适应不过来，写代码时不做类型检查、不做异常判断，把 BUG 都抛给浏览器，这就导致项目可靠性差、安全度低、可维护性极差。因此借着这个机会，把祖传代码也规范一下。

搭建 sonarqube 云端扫描环境

sonarqube 新版本不再支持 MySQL 数据库，需要使用 postgresql 数据库，我们主要使用 bitnami 维护的镜像，这些镜像更新比较及时，而且长期维护，尤其是 sonarqube 和 Jenkins，下面我们就使用 docker 镜像来按照 postgresql 和 sonarqube。

安装postgresql数据库

docker run -d --name postgresql --restart=always -p 5432:5432 -e ALLOW_EMPTY_PASSWORD=yes -e POSTGRESQL_USERNAME=bn_sonarqube -e POSTGRESQL_DATABASE=bitnami_sonarqube bitnami/postgresql:13

安装sonarqube

docker run -d --name sonarqube -p 9000:9000 -e ALLOW_EMPTY_PASSWORD=yes -e 
SONARQUBE_DATABASE_HOST=192.168.10.213-e SONARQUBE_DATABASE_PORT_NUMBER=5432-e 
SONARQUBE_DATABASE_USER=bn_sonarqube -e 
SONARQUBE_DATABASE_NAME=bitnami_sonarqube bitnami/sonarqube:9

如果sonarqube启动失败，报错信息中包含max_map_count，可以通过调整系统文件数来修改：

vi /etc/sysctl.conf

# 文件最后加上如下内容
vm.max_map_count=262144

配置工程扫描

使用 bitnami 搭建的 sonarqube 默认账号密码：admin/bitnami，访问 localhost:9000，登录后创建新的工程

填写工程名，并创建令牌，令牌名称建议和工程名相同

生成的令牌ID一定要复制下来，不会再显示第二次，如果没记下就需要重新生成，切记

选择扫描的语言和执行扫描的机器，然后记下生成的扫描命令，执行完扫描后这个页面将自动变为结果页面

下载配置 sonar-scanner

在上面的截图中会有 sonar-scanner 扫描器访问地址，打开以后，根据需求下载对应系统的文件

本来扫描器也是有 docker 镜像可以用的，但是 sonar-scanner 非常简单，基本无需依赖，下载后即可使用，所以我们也就不需要搞 docker 镜像来使用了。我这里使用 Linux 系统下的版本。

执行以下命令配置好 sonar-scanner 的扫描环境：

tar -xvf sonar-scanner-4.6.2.2472-linux.tar

mv sonar-scanner-4.6.2.2472-linux /usr/local

ln -s /usr/local/sonar-scanner-4.6.2.2472-linux/bin/sonar-scanner /usr/bin/sonar-scanner

扫描仓库代码

配置好扫描器后，我们就可以使用 sonar-scanner 来扫描我们的指定库代码了

下载代码

使用 git 命令将代码下载到和 sonar-scanner 在同一台机器上

cd /home/code

git clone git@gitee.com:small_bud_star/xxxxxx.git

执行扫描命令

进入到代码目录下，执行工程创建时提供给我们的扫描命令

sonar-scanner \
-Dsonar.projectKey=databoard \
-Dsonar.sources=. \
-Dsonar.host.url=http://10.10.8.252:9000 \
-Dsonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e

执行结果如下

扫描命令中的参数解释：

• projectKey: 我们创建项目时填的项目名称
• sources：扫描的目录，一般我们都是进入工程目录下进行扫描，如果在非根目录下执行扫描命令，还需要配合其他的参数才可以
• host.url：sonarqube 服务器地址
• login：创建项目时生成的令牌，但是也可以增加一个参数 password，通过用户名和密码进行扫描

在实际项目使用中，我们建议在项目根目录创建 sonar-project.properties 文件来配置扫描参数，以上扫描命令配置如下：

sonar.host.url=http://10.10.8.252:9000
sonar.sources=.
sonar.projectKey=databoard 
sonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e

然后进入项目根目录，输入sonar-scanner 就可以了

忽略规则配置

每一种开发语言都有很多扫描规则，因此误报的可能性也很大，sonarqube 为我们提供了忽略规则的配置。打开项目规则配置：

忽略配置包括以下类型

• 排除指定目录：sonar.exclusions

排除public 下的所有文件及其子目录下的文件

• 包含指定目录：sonar.inclusions

只扫描src目录下的文件

• 不需要检测重复代码的文件：sonar.cpd.exclusions

不检查src/assets目录下的所有文件重复度

• 包含指定规则的文件不参与扫描：sonar.issue.ignore.allfile

文件中包含 sonarqube disable 字符串的文件不参与扫描，这样我们就可以对一些特殊文件进行排除，字符串由我们自己定义

• 指定的代码块不参与扫描：sonar.issue.ignore.block

从包含@layer的行到包含@endlayer的行之间的所有代码不进行扫描，对于一些误检或者我们不想改变的代码，可以自定义两个标记把他们包含起来，这样这些代码就不会参与扫描了

• 在指定文件中不检查某些规则：sonar.issue.ignore.multicriteria

项目目录下的所有ts文件不执行squid:S1195扫描规则

• 在指定文件中只检查某些规则：sonar.issue.enforce.multicriteria

在login/index.js文件中只检查javascript:S1195规则，不检查其他规则

以上配置是在sonarqube服务器上，我们更推荐另外一种方式，即在项目目录下 sonar-project.properties文件中进行配置，配置如下：

sonar.host.url=http://10.10.8.252:9000
sonar.sources=.
sonar.projectKey=databoard 
sonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e
sonar.exclusions=public/**/*
sonar.issue.ignore.multicriteria=e1,e2
sonar.issue.ignore.multicriteria.e1.ruleKey=Web:ImgWithoutAltCheck
sonar.issue.ignore.multicriteria.e1.resourceKey=**/*
sonar.issue.ignore.multicriteria.e2.ruleKey=Web:BoldAndItalicTagsCheck
sonar.issue.ignore.multicriteria.e2.resourceKey=**/*

sonar.issue.ignore.block=e1,e2
sonar.issue.ignore.block.e1.beginBlockRegexp=@layer
sonar.issue.ignore.block.e1.endBlockRegexp=@layer
sonar.issue.ignore.block.e2.beginBlockRegexp=:deep
sonar.issue.ignore.block.e2.endBlockRegexp=:deep

VSCode配置 sonarlint 扫描

上面安装配置好了Sonarqube以后，我们还可以安装sonarlint插件进行编程支持，这个插件的作用是在我们开发代码的过程中实时的显示当前编辑代码的异常情况，在插件中配置sonarqube服务器的作用是可以使用sonarqube服务器中的规则进行代码检查，并不是使用云端sonarqube进行代码检查。

安装 jre 运行环境

• 下载 JDK

java 11 以后没有单独的jre安装包，需要安装jdk，然后通过命令生成

https://www.oracle.com/java/technologies/downloads/

• 安装 JDK

• 生成 Jre 目录

进入JDK安装目录C:\Program Files\Java\jdk-17.0.2，执行以下命令

bin\jlink.exe--module-path jmods --add-modules java.desktop --output jre

生成的 Jre 目录在 C:\Program Files\Java\jdk-17.0.2\jre

安装 sonarlint 并配置

在应用商店中搜索 SonarLint

安装完后点击设置按钮，进入扩展设置

选择在settings.json 中编辑

将以下信息配置在文件最下面：

"sonarlint.connectedMode.connections.sonarqube":[
{
"serverUrl":"http://10.10.8.252:9000",
"token":"60f6c402242a93ba5982a1f9f4084937aba9fd5e"
}
],
"sonarlint.connectedMode.project":{
"projectKey":"databoard"
},
"sonarlint.ls.javaHome":"C:\\Program Files\\Java\\jdk-17.0.2\\jre",
"sonarlint.ls.vmargs":"-Xmx1024m",
"sonarlint.pathToNodeExecutable":"E:\\Program\\nodejs\\node.exe"

• serverUrl：sonarqube 的服务器地址
• token：上面使用的令牌
• projectKey：工程名
• sonarlint.ls.javaHome：jre的目录
• sonarlint.ls.vmargs：内存使用配置
• sonarlint.pathToNodeExecutable：node可执行文件路径配置

在我们的开发过程当中，推荐大家使用各种代码检查工具，对代码质量进行管理，这样可以帮我们避免很多低级的或者不合理的异常，尤其是对于经常出错的同学，这是一个养成良好代码书写习惯的很好方式。