当前位置:首页 > 公众号精选 > 架构师社区
[导读]最近一段时间,我们团队在生产环境出现了几次线上问题,有部分比较严重,直接影响用户功能的使用,惹得领导不高兴了,让我想办法提升代码质量,这时候项目工程代码质量检测神器——SonarQube,出现在我们的视线当中。

最近一段时间,我们团队在生产环境出现了几次线上问题,有部分比较严重,直接影响用户功能的使用,惹得领导不高兴了,让我想办法提升代码质量,这时候项目工程代码质量检测神器——SonarQube,出现在我们的视线当中。 

一 sonarqube是做什么的

SonarQube®是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。通过插件形式,可以支持包括 java, C#, C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等二十几种编程语言的代码质量管理与检测。sonarqube可以从以下7个维度检测代码质量,而作为开发人员至少需要处理前5种代码质量问题。

1.1 不遵循代码标准

sonarqube可以通过CheckStyle等代码规则检测工具规范代码编写。

1.2 存在的缺陷漏洞

sonarqube可以通过Findbugs等等代码规则检测工具检测出潜在的缺陷。

1.3  糟糕的复杂度分布

文件、类、方法等,如果复杂度过高将难以改变,这会使得开发人员 难以理解它们, 且如果没有自动化的单元测试,对于程序中的任何组件的改变都将可能导致需要全面的回归测试。

1.4  重复

显然程序中包含大量复制粘贴的代码是质量低下的,sonarqube可以展示源码中重复严重的地方。

1.5  注释不足或者过多

没有注释将使代码可读性变差,特别是当不可避免地出现人员变动 时,程序的可读性将大幅下降 而过多的注释又会使得开发人员将精力过多地花费在阅读注释上,亦违背初衷。

1.6  缺乏单元测试

sonarqube可以很方便地统计并展示单元测试覆盖率。

1.7  糟糕的设计

通过sonarqube可以找出循环,展示包与包、类与类之间的相互依赖关系,可以检测自定义的架构规则 通过sonarqube可以管理第三方的jar包,可以利用LCOM4检测单个任务规则的应用情况, 检测耦合。sonarqube可以很方便地统计并展示单元测试覆盖率。


总览:

使用了这个神器,让我的代码bug少了一半

在典型的开发过程中:

  1. 开发人员在IDE中开发和合并代码(最好使用SonarLint在编辑器中接收即时反馈),然后将其代码签入ALM。

  2. 组织的持续集成(CI)工具可以检出,构建和运行单元测试,而集成的SonarQube扫描仪可以分析结果。

  3. 扫描程序将结果发布到SonarQube服务器,该服务器通过SonarQube界面,电子邮件,IDE内通知(通过SonarLint)以及对拉取或合并请求的修饰(使用Developer Edition及更高版本时)向开发人员提供反馈


SonarQube实例包含三个组件:

使用了这个神器,让我的代码bug少了一半

  1. SonarQube服务器运行以下过程:

  • 提供SonarQube用户界面的Web服务器。

  • 基于Elasticsearch的搜索服务器。

  • 计算引擎负责处理代码分析报告并将其保存在SonarQube数据库中。

  • 该数据库存储以下内容:

    • 代码扫描期间生成的代码质量和安全性的度量标准和问题。

    • SonarQube实例配置。

  • 在构建或连续集成服务器上运行的一台或多台扫描仪可以分析项目。

  • 二 sonarqube如何搭建

    官网地址:https://www.sonarqube.org/,选择“文档”菜单

    使用了这个神器,让我的代码bug少了一半

    在出现的文档页面中可以选择版本,目前最新的版本是8.5。笔者尝试过三个版本:

    8.5:它是目前最新的版本,需要安装JDK11,并且只支持oracle、sqlserver和PostgreSQL数据库

    7.9:它是一个长期支持的版本,非常文档,也需要安装JDK11,并且只支持oracle、sqlserver和PostgreSQL数据库 。

    7.6:它是一个老版本,只需安装JDK8,支持oracle、sqlserver和PostgreSQL数据库,以及mysql数据库。

    刚开始我们为了省事,安装了 7.6的版本,因为mysql数据库我们已经在用了,无需额外安装其他数据库,并且JDK8也在使用,安装成本最小。但是后来发现,如果需要安装汉化版插件,或者mybatis插件,这些插件要求的SonarQube版本必须在7.9以上,并且需要运行在JDK11以上。经过权衡之后,我们决定安装最新版的。

    2.1 安装JDK11和postgreSQL

       JDK下载地址:https://www.oracle.com/java/technologies/javase-jdk11-downloads.html

       JDK的安装比较简单,我在这里就不过多介绍了,网上有很多教程。

       PostgreSQL它自己号称自己是世界上最先进的开源数据库,具有许多功能,旨在帮助开发人员构建应用程序,管理员来保护数据完整性和构建容错环境,并帮助您管理数据,无论数据集的大小。除了免费和开源之外,PostgreSQL也是高度可扩展的。例如,您可以定义自己的数据类型,构建自定义函数,甚至可以使用不同的编程语言编写代码,而无需重新编译数据库。

       PostgreSQL的安装与使用可以参数:https://www.jianshu.com/p/7d133efccaa4


    2.3 从zip文件安装sonarqube


    SonarQube无法在root基于Unix的系统上运行,因此,如有必要,请为SonarQube创建专用的用户帐户。

    $ SONARQUBE-HOME(下面)指的是SonarQube发行版已解压缩的目录的路径。

    设置对数据库的访问

    编辑$ SONARQUBE-HOME / conf / sonar.properties以配置数据库设置。模板可用于每个受支持的数据库。只需取消注释并配置所需的模板,然后注释掉专用于H2的行:

    Example for PostgreSQL
    sonar.jdbc.username=sonarqube
    sonar.jdbc.password=mypassword
    sonar.jdbc.url=jdbc:postgresql://localhost/sonarqube

    配置Elasticsearch存储路径

    默认情况下,Elasticsearch数据存储在$ SONARQUBE-HOME / data中,但不建议将其用于生产实例。相反,您应该将此数据存储在其他位置,最好是在具有快速I / O的专用卷中。除了保持可接受的性能外,这样做还可以简化SonarQube的升级。

    编辑$ SONARQUBE-HOME / conf / sonar.properties以配置以下设置:

    sonar.path.data=/var/sonarqube/data
    sonar.path.temp=/var/sonarqube/temp

    用于启动SonarQube的用户必须具有对这些目录的读写权限。

    启动Web服务器

    默认端口为“ 9000”,上下文路径为“ /”。这些值可以在$ SONARQUBE-HOME / conf / sonar.properties中进行更改

    sonar.web.host=192.0.0.1
    sonar.web.port=80
    sonar.web.context=/sonarqube

    执行以下脚本来启动服务器:

    • 在Linux上:bin / linux-x86-64 / sonar.sh start

    • 在macOS上:bin / macosx-universal-64 / sonar.sh start

    • 在Windows上:bin / windows-x86-64 / StartSonar.bat

    调整Java安装

    如果服务器上安装了多个Java版本,则可能需要明确定义使用哪个Java版本。

    要更改SonarQube使用的Java JVM,请编辑$ SONARQUBE-HOME / conf / wrapper.conf并更新以下行:

    wrapper.java.command=/path/to/my/jdk/bin/java

    您现在可以在http:// localhost:9000浏览SonarQube (默认的系统管理员凭据为adminadmin)。第一次访问这个地址比较会停留在这个页面一段时间,因为SonarQube会做一些初始化工作,包含往空数据库中建表

    使用了这个神器,让我的代码bug少了一半


    初始化成功后运行的页面:

    使用了这个神器,让我的代码bug少了一半



    同时会生成20多张表:

    使用了这个神器,让我的代码bug少了一半

    2.3 安装插件

    根据个人需要,可以安装汉化插件,sonarqube默认是英文界面。

    github地址:https://github.com/SonarQubeCommunity/sonar-l10n-zh


    将项目下载编译打包后,将jar放到$SONARQUBE-HOME\extensions\plugins

    目录下即可,然后执行:./sonar.sh restart命令重启sonarqube服务。


    此外,还有mybatis插件

    gitee地址:https://gitee.com/mirrors/sonar-mybatis

    我个人用过,觉得作用不大,不过可以基于这个代码扩展自己需要的功能。

    三 sonarqube如何使用

    3.1 在maven项目中集成sonarqube

    先在maven的settings.xml文件中增加如下配置:

    <pluginGroups> <pluginGroup>org.sonarsource.scanner.mavenpluginGroup>pluginGroups><profiles> <profile> <id>sonarid> <activation> <activeByDefault>trueactiveByDefault> activation> <properties>  <sonar.host.url> http://localhost:9000 sonar.host.url> properties> profile>profiles>

    然后在pom.xml文件中增加配置:

      org.sonarsource.scanner.maven  sonar-maven-plugin  3.3.0.603

    在项目目录下运行代码检测命令:  mvn clean complie -U -Dmaven.test.skip=true sonar:sonar


    看到这几句话,就表示检测成功了

    使用了这个神器,让我的代码bug少了一半


    然后在sonar后台查看检测报告

    使用了这个神器,让我的代码bug少了一半

    报告里面包含:bug、漏洞、异味、安全热点、覆盖、重复率等,对有问题的代码能够快速定位。


    点击某个bug可以查看具体有问题代码:

    没有关闭输入流问题:

    使用了这个神器,让我的代码bug少了一半


    空指针问题:

    使用了这个神器,让我的代码bug少了一半

    错误的用法:

    使用了这个神器,让我的代码bug少了一半

    SimpleDateFormat不应该被定义成static的。

    检测出的代码问题类型太多,这里就不一一列举了。总之,记住一句话:sonar很牛逼。它不光可以检测出代码问题,还对一些不好的代码写法和用法有更好的建议。

    彩蛋

    sonarqube非常强大,上面只介绍了它的基本用法。一般情况下,我们可以使用jenkins配置需要代码检测的项目,从gitlab上下载代码,执行maven编译打包代码测试命令,可直接生成报告。jenkins触发执行代码检测的时机是:1.有代码提交,或者指定比如test分支有代码提交,项目数量少可以这样做。2.定时执行,我们公司就是配置在凌晨定时执行,因为jenkins部署的项目太多了,为了不影响正常的项目部署。

    此外,我们可以自定义代码检测的执行规则,根据实际的项目需求自己开发插件,比如:我们自己开发了mybatis插件,扫描mapper和xml文件名称不一致的情况。

    使用了这个神器,让我的代码bug少了一半


    总之,sonar的功能非常强大,强烈建议大家在项目中使用,真的可以减少很多隐藏的bug,提高代码质量,如果你用过就会发现它的好处。如果想了解更多sonar的用法,可以在 公众号中回复:sonar,可以获取更详细的用法。

    特别推荐一个分享架构+算法的优质内容,还没关注的小伙伴,可以长按关注一下:

    使用了这个神器,让我的代码bug少了一半

    使用了这个神器,让我的代码bug少了一半

    使用了这个神器,让我的代码bug少了一半

    长按订阅更多精彩▼

    使用了这个神器,让我的代码bug少了一半

    如有收获,点个在看,诚挚感谢

    免责声明:本文内容由21ic获得授权后发布,版权归原作者所有,本平台仅提供信息存储服务。文章仅代表作者个人观点,不代表本平台立场,如有问题,请联系我们,谢谢!

    本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
    换一批
    延伸阅读

    9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

    关键字: 阿维塔 塞力斯 华为

    加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

    关键字: AWS AN BSP 数字化

    伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

    关键字: 汽车 人工智能 智能驱动 BSP

    北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

    关键字: 亚马逊 解密 控制平面 BSP

    8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

    关键字: 腾讯 编码器 CPU

    8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

    关键字: 华为 12nm EDA 半导体

    8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

    关键字: 华为 12nm 手机 卫星通信

    要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

    关键字: 通信 BSP 电信运营商 数字经济

    北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

    关键字: VI 传输协议 音频 BSP

    北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

    关键字: BSP 信息技术
    关闭
    关闭