中国sonarqube静态安全扫描工具-华克斯

SonarQube使用流程

使用流程图

1、开发负责人获取蕞新代码到本地；

2、开发负责人执行sonar-runner开始代码分析工作；

3、开发负责人将分析出来的issue指派给开发人员；

4、开发人员修复issue；

5、开发负责人重新获取蕞新源码，重新执行sonar-runner，检查issue的修复情况。

sonarqube架构介绍

SonarQube平台主要由4个组件组成：

（1). SonarQube服务器：

主要包括web服务器，基于ElasticSearch的搜索服务器，计算引擎服务器。

其中，web服务器，是供开发人员浏览查看代码分析结果，进行相应的配置等。

计算引擎服务器主要是处理代码分析报表并将其存储在数据库。

(2). SonarQube 数据库：

存储配置信息和代码分析报表。

(3). 多个Soanr插件：包括分析各种语言的插件。

(4). 多个Sonar Scanner，sonarqube静态安全扫描工具，主要运行在开发人员的代码端，可以单独部署，也可以集成在Maven，Gradle等。

SonarQube 扫描 接入方式

SonarQube 接入方式sonarqube静态安全扫描工具

SonarQube包含多种接入方式，这里提供常用的几种接入方式说明：

Jenkins集成方式

Maven集成方式

直接扫描方式

无论采用哪种集成方式，代理商sonarqube静态安全扫描工具，首先需要在sonar服务中生成授权token：

Jenkins集成方式

Jenkins集成具体实现方式包含两种：

通过Jenkins的Job触发Maven命令执行，这种方式实际上是通过Maven集成方式来进行扫描的；

通过Jenkins的Sonar插件执行，此方式实际是触发直接扫描方式来进行扫描的，中国sonarqube静态安全扫描工具，Jenkins插件的安装方式详见安装

全局配置

在settings.xml文件中配置以下内容

添加插件

在pom.xml中添加sonar插件：

执行分析

如果是多module项目，在执行扫描前需要先对项目进行install操作，即：

分析配置如果需要修改sonar扫描参数的默认值，在pom.xml的properties中修改即可，支持的参数较多

直接扫描方式

配置在项目根目录中创建sonar-project.properties配置文件，配置文件中包含以下内容：