SonarQube安装下载及代码覆盖率使用

SonarQube安装与使用指南

大纲

一、引言

• 介绍SonarQube及其作用
• 使用场景和优势

二、 下载安装SonarQube

• 下载与解压
• 运行与登录
• 安全设置
• 语言包安装

三、通过SonarQube进行代码扫描

• 创建项目
• 生成令牌
• 安装扫描工具
• 运行扫描命令

四、 查看运行结果

• 结果预览
• 详细报告分析
• 问题处理
• 修复建议

五、 结论

• 总结关键点
• 后续建议

---

详细说明

一.、引言

SonarQube是一款开源的代码质量分析平台，用于静态代码扫描、漏洞检测和代码规范检查。它能帮助开发团队提升代码质量、减少技术债务，支持多种编程语言（如Java、Python、C++等）。使用SonarQube可以自动化识别代码中的缺陷、安全漏洞和代码异味，并提供修复建议。例如：

• 优势：集成CI/CD管道、支持自定义规则、提供可视化报告。
• 适用场景：团队协作、代码审查、持续集成环境。

二、 下载安装SonarQube

本节详细说明安装步骤，确保环境准备充分。

• 下载与解压
  • 访问SonarQube官网下载最新版本（如SonarQube 9.x）。
  • 解压文件到本地目录（如D:\sonarqube），确保路径无空格或特殊字符。
  • 注意事项 ：
    • 需提前安装Java环境（推荐JDK 17+），并设置JAVA_HOME环境变量。
    • 解压后目录结构：bin（运行脚本）、conf（配置文件）、logs（日志文件）。

• 下载后解压：
  
• 运行与登录

  • 双击运行StartSonar.bat（Windows）或sonar.sh（Linux/macOS）。
    

  • 访问默认地址：http://127.0.0.1:9000（端口9000）。

  • 使用默认账号密码登录：admin/admin。
    

  • 常见问题：

    • 若启动失败，检查Java环境或端口冲突（如其他服务占用9000端口）。
    • 日志文件（logs/sonar.log）可排查错误。
• 双击运行StartSonar.bat（前提先安装配置好JAVA环境）

• 语言包安装
  • 导航至Administration > Marketplace > Plugins，搜索Chinese Pack并安装。
  • 重启SonarQube服务使设置生效。
  • 说明：语言包支持多语言界面，方便非英语用户。

• 修改后重启
  

• 重启后显示中文
  

三、通过SonarQube进行代码扫描

1. 通过SonarQube进行代码扫描

如何配置扫描工具并执行代码分析。

• 创建项目
  • 在SonarQube界面点击Create Project，输入项目名称和标识（如api_frame）。
  • 选择项目类型（如Python、Java），匹配代码库语言。
  • 提示 ：项目标识需唯一，用于后续扫描命令。
    
• 继续创建项目
  
• 2.生成令牌
  • 在项目设置中生成令牌（Token），如sqp_dd64a0d21XXXXXXXXXXXXXX。
  • 作用：令牌用于身份验证，确保扫描工具与SonarQube服务器安全通信。
  • 安全建议 ：令牌保密，避免泄露。
    
• 选择项目：如python项目
  
• 3.安装扫描工具

  • 对于Python项目，安装pysonar扫描器：

    pip install pysonar  

  • 说明 ：

    • pysonar是SonarQube的Python扫描客户端，其他语言需对应工具（如Java用sonar-scanner）。
    • 确保Python环境已配置（推荐Python 3.7+）。

pip install pysonar

• 4.运行扫描命令

  • 在代码目录执行命令，示例：

   pysonar --sonar-host-url=http://127.0.0.1:9000 --sonar-token=sqp_dd64a0d21XXXXXXXXXXXXXX --sonar-project-key=api_frame  

• 参数解析：

  • --sonar-host-url：SonarQube服务器地址。
  • --sonar-token：项目令牌。
  • --sonar-project-key：项目标识。

• 常见错误：

  • 网络连接失败：检查防火墙或服务器状态。
  • 令牌无效：重新生成令牌。

四、查看运行结果

• 结果预览

  • 扫描完成后，在SonarQube项目主页查看概览（如代码覆盖率、缺陷数量）。
  • 指标说明 ：
    • 漏洞（Bugs）：可能导致系统故障的代码问题。
    • 安全热点（Security Hotspots）：潜在安全风险。
    • 代码异味 （Code Smells）：可维护性不足的代码。
      

• 详细报告分析

  • 点击Issues标签页查看具体问题列表（如未使用的变量、SQL注入风险）。
  • 功能 ：
    • 筛选问题类型（严重性、状态）。
    • 查看问题位置（文件路径、行号）。
      

• 问题处理

  • 分配问题给团队成员或标记状态（如"已修复"）。
  • 操作示例 ：
    • 点击问题条目，查看上下文代码。
    • 添加评论或分配责任人。
      

• 具体问题

• 修复建议
  • SonarQube提供修复指导（如代码重构示例）。
  • 示例问题 ：
    • 问题："变量未使用"（Python）。
    • 修复：删除冗余变量或添加注释。
  • 最佳实践 ：定期扫描并修复问题，避免技术债务累积。
    

五、 结论

SonarQube是提升代码质量的关键工具，通过自动化扫描减少人工审查成本。

• 关键点总结 ：
  • 安装时确保Java环境就绪。
  • 扫描前生成令牌并正确配置项目。
  • 定期分析报告以持续改进代码。
• 后续可操作 ：
  • 集成到CI/CD流程（如Jenkins、GitLab CI）。
  • 自定义规则集以适应团队规范。