大家好�����,我叫董鑫���,一名在測(cè)試開發(fā)道路上的新手,是狂師老師全棧測(cè)開訓(xùn)練營上一期的學(xué)員���。第一階段的學(xué)習(xí)已然結(jié)束��,收獲頗多���,了解了很多在自己平時(shí)測(cè)試工作無法接觸到的新知識(shí),比如這次在這里分享的Sonarqube進(jìn)行靜態(tài)代碼掃描并集成Jenkins的知識(shí)�����,是分享也是自我學(xué)習(xí)的總結(jié)����。若有不對(duì)的地方,還請(qǐng)各位同行��,同學(xué)��,老師及時(shí)指正。
之前在公眾號(hào)也分享過一篇文章:測(cè)開新手:從0到1����,自動(dòng)化測(cè)試接入Jenkins學(xué)習(xí)
1. 什么是SonarQube
SonarQube是一個(gè)開源的代碼質(zhì)量管理系統(tǒng),用于檢測(cè)代碼中的錯(cuò)誤��,漏洞和代碼規(guī)范�,通過插件的機(jī)制,
可以基于現(xiàn)有的Gitlab���、Jenkins 集成、以便在項(xiàng)目拉取后進(jìn)行連續(xù)的代碼檢查���。
優(yōu)點(diǎn):
◆ 支持眾多計(jì)算機(jī)編程語言
◆ 通過插件機(jī)制能集成IDE����、Jenkins�、Git等
◆ 內(nèi)置大量常用代碼檢查規(guī)則
◆ 支持定制開發(fā)規(guī)則
◆ 可視化界面
◆ 支持從可靠性、安全性�����、可維護(hù)性�、覆蓋率����、重復(fù)率等 方面分析項(xiàng)目
具體的配置及文檔可以訪問下面的鏈接查看:
https://www./downloads/
https://docs./latest/analysis/scan/sonarscanner/
2. Jenkins插件安裝及配置
Sonarqube想要與Jenkins集成�,需要安裝相應(yīng)的插件來支持。
在插件管理中搜索名為Sonarqube Scanner for Jenkins的插件 并安裝���。
安裝好插件后�����,還需要配置相應(yīng)的服務(wù)和工具信息:
2.1. 系統(tǒng)設(shè)置->SonarQube servers
- server url:這個(gè)地址就是你sonar服務(wù)所在的地址
- token:在sonar項(xiàng)目中生成的token
2.2. 全局工具配置》SonarQube Scanner
建議不采用自動(dòng)安裝�����,使用手動(dòng)下載配置好的sonar scanner
- name:自定義sonar scanner名稱�,建議使用sonar-scanner
- SONAR_RUNNER_HOME:sonar scanner所在的家目錄
3. 自由風(fēng)格的job使用sonar
3.1 配置代碼倉庫地址:
3.2 勾選sonarqube 服務(wù)并選擇token:
3.3 在構(gòu)建中添加Exeute SonarQube Sanner
這里可以使用兩種方式:
- a. 直接將sonar-project.properties配置內(nèi)容寫到 Analysis properties 中
- b. 將配置好的sonar-project.properties文件放置在代碼目錄中����,在 Path to project properties 配置相應(yīng)的文件名
建議使用第二種方式來管理我配置的sonar-project.properties文件如下:
保存好后,就可以來構(gòu)建了�。構(gòu)建后項(xiàng)目頁面可以直接跳轉(zhuǎn)到sonarqube服務(wù)查看。
4. pipeline流水線使用sonar
4.1 構(gòu)建一個(gè)流水線job��,流水線pipeline script如下編寫:
pipeline {
agent any
stages {
stage('拉取代碼') {
steps {
git credentialsId: 'gitee', url: 'https:///dx0001/work.git'
}
}
stage('靜態(tài)代碼靜態(tài)掃描') {
steps {
withSonarQubeEnv('sonarqube'){
bat "sonar-scanner"
}
}
}
}
注意:這里的名稱是在Jenkins中系統(tǒng)管理--sonarqube servers添加的名稱
同樣的���,設(shè)置好job后就可以構(gòu)建進(jìn)行代碼掃描了����。
5. 接入Sonar質(zhì)量門禁
通過上面的job,只是代碼掃描可能無法滿足日常的情況��,當(dāng)掃描的結(jié)構(gòu)不滿足時(shí)我可能就不進(jìn)行后面的步驟了��,這樣的情況���,我們就需要接入質(zhì)量門禁的方式來實(shí)現(xiàn)��。
5.1 在sonar服務(wù)端的質(zhì)量閥中設(shè)置質(zhì)量門禁���,添加要運(yùn)用的項(xiàng)目
質(zhì)量配置->質(zhì)量閥
這里可以添加指標(biāo)來定義通過掃描的條件���。然后將設(shè)置的質(zhì)量閥分配給要掃描的項(xiàng)目�。
5.2 在sonar服務(wù)端的配置里面添加網(wǎng)絡(luò)調(diào)用hook
配置->網(wǎng)絡(luò)調(diào)用
這里添加Jenkins調(diào)用的地址���,用來回調(diào)掃描的結(jié)果��。URL配置為:Jenkins地址+/sonarqube-webhook
5.3 流水線改造
pipeline {
agent any
stages {
stage('拉取代碼') {
steps {
git credentialsId: 'gitee', url: 'https:///dx0001/work.git'
}
}
stage('靜態(tài)代碼靜態(tài)掃描') {
steps {
withSonarQubeEnv('sonarqube'){
bat "sonar-scanner"
}
}
}
stage('檢查結(jié)果分析') {
steps {
script{
timeout(5){
def qg=waitForQualityGate()
echo "結(jié)果狀態(tài):${qg.status}"
if(qg.status!='OK')
error '未達(dá)到代碼門禁要求���!'
}
}
}
}
}
}
在上面的流水線的job上增加一個(gè)“檢查結(jié)果分析”的步驟����,使用waitForQualityDate()的方法來獲取掃描是否通過質(zhì)量閥的狀態(tài)值�。最后使用if條件來判斷,不通過時(shí)則使用“error”來中斷流程�����,實(shí)現(xiàn)質(zhì)量門禁的功能�。
6. 小結(jié)
此次分享就到這里了,更多的是自我知識(shí)沉淀的過程�,第一階段的學(xué)習(xí)雖已結(jié)束,但對(duì)于我更多的是開始��,很多的知識(shí)需要自己動(dòng)手搭環(huán)境來實(shí)踐���,我很享受這個(gè)過程�。將一個(gè)個(gè)知識(shí)落實(shí)�����,弄清楚,是一件令我非常高興的事情���。接觸并學(xué)習(xí)更多測(cè)試開發(fā)的知識(shí)�,在測(cè)試的道路上越走越寬���,越走越遠(yuǎn)����,為此��,奮力前進(jìn)�!
