软件版本：

SonarQube:7.7

Jenkins:2.164.3

一、简介

SonarQube是一个开源的代码质量分析平台，便于管理代码的质量，可检查出项目代码的漏洞和潜在的逻辑问题。同时，它提供了丰富的插件，支持多种语言的检测， 如 Java、Python、Groovy、C#、C、C++等几十种编程语言的检测。

核心价值观：

检查代码是否遵循编程标准：如命名规范，编写的规范等。

检查设计存在的潜在缺陷：SonarQube通过插件Findbugs、Checkstyle等工具检测代码存在的缺陷。

检测代码的重复代码量：SonarQube可以展示项目中存在大量复制粘贴的代码。

检测代码中注释的程度：源码注释过多或者太少都不好，影响程序的可读可理解性。

检测代码中包、类之间的关系：分析类之间的关系是否合理，复杂度情况。

SonarQube主要由4个组件组成：

一个SonarQube服务器启动3个主要流程：

Web服务器，供开发人员，管理人员浏览高质量快照并配置SonarQube实例

基于Elasticsearch的Search Server从UI返回搜索

计算引擎服务器负责处理代码分析报告并将其保存在SonarQube数据库中

一个SonarQube数据库存储：

SonarQube实例的配置(安全性，插件设置等)

项目，视图等的质量快照

服务器上安装了多个SonarQube插件，可能包括语言，SCM，集成，身份验证和治理插件

在构建/持续集成服务器上运行一个或多个SonarScanner来分析项目

SonarQube工作流程：

二、安装步骤

好了，讲了一堆概念开始进入正题了。

1.安装jenkins

没有安装jenkins的可以参考之前的文章。Linux — 集成Jenkins

2.安装SonarQube

本文为了方便测试使用Docker安装SonarQube。

运行SonarQube:

docker run -d --name sonarqube -p 9000:9000 sonarqube

启动后默认登录账号为admin/admin。

默认情况下，镜像将使用不适合生产的嵌入式H2数据库。如需要设置数据库请参考如下设置。

生产数据库被配置成与作为环境变量以下SonarQube属性：sonar.jdbc.username，sonar.jdbc.password和sonar.jdbc.url。

$ docker run -d --name sonarqube \

-p 9000:9000 \

-e sonar.jdbc.username=sonar \

-e sonar.jdbc.password=sonar \

-e sonar.jdbc.url=jdbc:postgresql://localhost/sonar \

sonarqube

3.启动SonarQube：

安装chiese Pack中文插件，安装完记得点击页面上的Restart重启SonarQube。

然后重要的事情来了，就是配置质量阀。像我们只想针对新提交的代码进行审计，故定制如下质量阀指标：

好了，到此基本配置完了。下面开始集成Jenkins

4.集成Jenkins

因为我们是用Jenkins做为后台的持续扫描调度服务，所以需要安装SonarQube Scanner For Jenkins插件，也就不需要安装其他的扫描器了。

在Jenkins系统设置->配置SonarQube服务器连接详细信息。

构建项目：

sonar.projectKey=tembin_loan_test

sonar.projectName=tembin_loan_test

sonar.projectVersion=1.0

sonar.exclusions=*-ui/**

sonar.language=java

sonar.java.source=1.8

sonar.sourceEncoding=UTF-8

sonar.sources=$WORKSPACE

sonar.java.binaries=$WORKSPACE

打开构建结果的链接来查看SonarQube具体的分析报告。

5.质量阀状态关联构建结果

我们需要在代码分析无法满足SonarQube的质量标准时，就项目构建失败。Jenkins是支持这样的，需要安装插件Sonar Quality Gates Plugin

同时在系统设置->配置Quality Gates – Sonarqube。

然后，在项目工程中需要增加“构建后操作“。

6.邮件通知commiter

项目构建失败时，邮件通知提交代码的人。jenkins默认集成了一个挺好用的邮件插件Extended E-mail Notification。

先进行全局设置，初始配置时建议勾选debug和watch,方便查看邮件是否发送成功。如下图

项目配置邮件插件：

选择右下角高级设置

三、整合阿里Java开发规范(p3c-pmd)

sonar-pmd 3.2.0-SNAPSHOT 集成p3c-pmd 1.3.4-pmd6.10.0

把sonar-pmd-plugin-3.2.0-SNAPSHOT.jar 更新到sonarqube服务器上sonarqube-7.7/extensions/plugins/sonar-pmd-plugin-3.2.0-SNAPSHOT.jar

更新后启动sonarqube

四、参考资料

作者：剧与