Jenkins集成Git、Sonar进行持续代码检测

工作中经常会用到Jenkins进行代码持续构建、部署；利用Git作为代码的版本控制工具。SonarQube是管理代码质量一个开放平台，可以快速的定位代码中潜在的或者明显的错误。本文主要讲解如何集成三者进行持续的代码检测，便于日常工作中及时定位代码高危漏洞，提高代码质量。

1. 进入Jenkins官网下载jenkins.war

采取java -jar的方式快速启动应用，由于java -jar启动应用后，关闭命令窗口，应用就回关闭，所以采取nohup &方式，并且加上--httpPort参数指定启动端口号，避免默认端口与服务器已有应用端口冲突。

nohup java -jar jenkins.war --httpPort=8999 &

启动的日志是在war包同级的nohup.out中，可以使用tail -f nohup.out查看启动日志，一定要查看启动日志，这个很重要，因为初次登录密码在其中，看以下截图，关键文字：Please use the following password to proceed to installation，跟着的一串很长的字符串就是出事初始化的密码。

image.png

启动完成后，打开jenkins网页，输入初始密码，一步步进行初始化及初始账户设置即可，本文不做累述。最终主页如下图所示：

image.png

2. 进入SonarQube官网下载sonarqube-7.1.zip

使用unzip指令解压压缩包。在此之前需要在mysql数据库中新建一个数据库用于sonar服务所用，数据库定义好后，进入

1. unzip sonarqube-7.1.zip

2. cd sonarqube-7.1/conf

3. vi sonar.properties

4. 新增配置：

    sonar.jdbc.username=user

    sonar.jdbc.password=yourpass

    sonar.jdbc.url=jdbc:[mysql://115.159.157.145:3306/your_db?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=true](mysql://115.159.157.145:3306/sonar_db?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=true)

5. 进入bin文件目录下可以看到有很多不同系统的文件夹，进入对应的系统文件夹，启动脚本，linux64启动：

    cd linux-x86-64

    ./sonar.sh start 

6. 在logs文件下有sonar的启动日志及报错信息，可以通过查看sonar.log文件来判定sonar的启动情况，如果启动异常可以查看es.logs来定位具体异常原因.

Ps：我这边首次启动的时候由于使用是root用户，启动会有报错如下图，之后只能切换用户来启动sonar服务。

image.png

启动服务后，访问对应的sonar应用，默认端口号是9000，进入主页，登陆默认的用户名密码：admin/admin，首次登陆会让你初始化一个access-token，随意起个名字即可，记录下Generate生成的token值，一会集成jenkins时会用到

image.png

3. jenkins集成sonar，下载SonarQube Scanner插件

image.png

系统管理->系统设置->SonarQube servers 选择Add SonarQube

image.png

Name：自定义

Server URL：sonar服务地址

Server authentication token：第二部中首次登陆sonar服务时生成的token值。

4. 新建任务，从git仓库拉去代码并集成sonar进行持续化检测

源码管理选择git，输入git仓库地址，添加Credentials，添加构建后步骤：SonarQube analysis with Maven

image.png image.png

Sonar scanner参数说明：

sonar.host.url    sonarqube的URL地址

sonar.login    sorna用户名

sonar.password    指定sonar用户的密码

sonar.projectName    在sonar上显示的项目名称

sonar.projectVersion    在sonar上显示的版本信息

sonar.projectKey    sonar的项目关键字

sonar.sources    包含pom.xml的maven项目相对目录

保存任务，然后点击立即构建。

5. 构建成功后进入sonar服务页面可以看到如下页面：

image.png image.png

至此，就可以根据sonar的检测结果，进行漏洞修复及代码优化了。