pandaAnthony：sonar安装及简单使用

程序员写代码是有一些开发规范的，比如java程序员经常会用到的阿里巴巴java开发手册；其他语言也会有一些自己的规范。不少公司都比较重视代码的质量，会做代码走读或者code review，叫法不一样，但目的都是尽量保证代码的质量和安全。

以前用过crucible这样的工具来协助code review，公司对于code review是有强制性要求的，需要不少于3个人来做，并且要解决提出的合理要求；其实这样比较费时间和精力，尤其是不少代码是并不是核心业务代码，记得当时看到没有注解、魔法值这些每次都会提出来。那么有没有工具来解决这些重复性的工作，让大家更加关注核心业务的code review呢（自检的插件还是有的，比如Alibaba Java Coding Guidelines；这里主要介绍需要部署服务器，让多人协同工作的）。

以前经常听到过sonar来进行代码检查，正好今天被分配了个任务要求做自动代码检查，就找资料学习并安装使用了下，发现用起来比较简单而且效果也还不错。

sonar简介

官网地址：https://www.sonarqube.org/

image.png
这个没有国际化，只能看英文的了。首页这里加粗的就是sonar最大的作用就是：代码质量和安全，他的使用对象是your teammate团队成员，所以明确介绍了是为团队成员的代码质量和安全。

不急着下载，先找到官方文档Document：https://docs.sonarqube.org/latest/
文档首页左边这里是导航，右边是欢迎页加一些简介，这里告诉我们从7.4版本后在sonar内部就可以看到这些文档：

image.png
右边这里更细致的区分了使用对象（比如作为新人，sonar管理员，程序员使用者等），建立了更快捷的导航：
image.png

很明显，我们是做为新人来使用的。这里有2个链接：一个是快速的demo，一个是生产使用。在进入这里之前，我们先看下左侧导航的Requirements需求：

image.png

这里对于软件环境就一点明确的要求JRE11或者OpenJDK11，硬件要求操作系统至少2G内存和1G的可用内存，然后明确指出不支持32位的系统；至于硬盘空间则是根据需要分析的代码来定的，有兴趣的可以自己去看下说明，这里不具体描述了。大概意思是使用sonar云在Amazon EC2 large的实例上分析有5年历史3亿5000万行代码需要每个节点50G的空间来运行。

然后企业级硬件的推荐配置8核16G：

image.png

支持的平台，java（服务器要求jre11，扫描的要求jre11和jre8）和数据库等：

image.png

如果不想使用最新的（目前是8.2版本），可以在左侧导航切换：

image.png

当然如果要使用旧版本的话最好选择7.9LTS，这个表示7.9版本会长期支持。

sonar安装

好吧，前面简介废话了这么多（其实还是很有用处的，起码知道了一些基本要求）；进入正式的安装。首先回到文档首页https://docs.sonarqube.org/latest/：

image.png

选择快速demo版本：

image.png
发现快速demo版本果真简单，在2分钟内搞定。然后他告诉你这只是怎么安装一个demo实例，如果准备好安装到正式环境，需要看对应服务器文档。
快速安装有2种方式：
1、通过zip解压安装：需要下载SonarQube 社区版，然后用非root账户解压并运行。
既然这里说了有社区版那肯定就有收费版，进入下载页https://www.sonarqube.org/downloads/
image.png
根据实际情况选择吧，社区版支持的语言和功能没有Developer版强大，不过也足够用了。因为这里需要jre11或openjdk11的环境，所以不演示了。

2、使用docker安装：应该不少人都用过docker了，这里不详细描述docker了。
centos7下安装docker：

yum install docker -y

安装后启动并设置成开机启动

systemctl start docker
systemctl enable docker

然后按照文档安装（这个时间有点长，远超2分钟；这里推荐使用阿里云镜像加速，具体操作去百度docker阿里云镜像加速，速度很快），需要注意9000端口没被占用：

docker pull sonarqube
docker run -d --name sonarqube -p 9000:9000 sonarqube

执行命令后如果没问题会看到一串字符串，可以理解为docker启动了一个容器的id标识：

image.png

然后通过浏览器访问：

image.png

可以看到about页面了，点击登录按钮：

image.png

可以看到登录界面下方有个警告，说内嵌的数据库仅适用于评估目的，推荐还是使用外部的数据库。默认用户名密码是admin/admin，登录：

image.png

可以在右边看到各项评估指标统计，左边是项目列表。
到这来sonar的安装就完成了，下面介绍下怎么结合java进行代码分析。

简单使用

点右侧的创建新项目：

image.png

如果有项目的话可以点右上角的加号创建：

image.png

可以看到创建新项目需要填写的项目关键字和显示名称：

image.png

点击创建继续：

image.png

这里需要生成一个token，随便填写token的名称然后点生成：

image.png

点击继续：

image.png

可以看到第二步出现了，需要选择你项目的主要语言，这里我们选择java：

image.png

然后可以看到提示，我们用什么技术来构建，这里我用的是maven，所以选择maven继续：

image.png

可以看到分成具体的一个提示命令了，其中包含了项目名称，sonar主机url和刚生产的token；我们先复制这个命令直接到工程下运行（在windows下需要去掉反斜杠）：

image.png

经过一段时间的等待，发现分析成功了。我们在回到浏览器页面，发现页面也变化了：

image.png

看到左边是整体结果Passed通过了，右边是详细统计。有多少bug，多少Vulnerabilities漏洞，多少Security Hotspots这些具体的信息及对应的评级。总之有数字的就是需要改进的，然后我们点击3个Vulnerabilities漏洞查看：

image.png

可以看到左侧还是导航栏，记录了各种级别的问题；有右边是对应问题的列表，可以看到每个漏洞的级别，甚至告诉你为什么是个issue。
先点击第一条记录：

image.png

页面跳转了，左侧是刚才的问题列表，右侧是具体的代码。其实这里给出了他要求你怎么做了：

image.png

直接百度翻译：将i设为静态final常量或非公共常量，并在需要时提供访问器；比较明确了吧。我们再看下为什么，点‘Why is this an issue’：

image.png

也给出了非常明确的解释，还有例子：

image.png

提示信息和例子还是很有用的，明确地告诉你需要怎么去解决。

回到首页发现刚才分析的项目在右侧列表了：

image.png

好了，sonar安装及简单使用到这里基本上就可以了。实际项目中肯定是需要结合持续集成，后续可能会进一步做相关的介绍和使用。