sonarqube8 和 postgresql

原創 原創 2021-09-23 21:14

1、sonar資源與工作原理

資源

sonarqube-8.2.0.32929.zip (sonarqube-9+版本,除了soanrqube本身需要jdk11,貌似掃描的工程也要jdk11,待確認)

postgresql-10.18-1-linux-x64-binaries.tar.gz

jdk-11.0.12_linux-x64_bin.tar.gz

sonar-scanner-cli-4.6.2.2472-windows.zip

部署機器,使用虛擬機,IP : 192.168.25.135

工作原理

sonarqube是一個web應用,用來存儲掃描結果,供遠程訪問查看等。

sonar-scanner是掃描代碼的工具,將掃描結果上傳到sonarqueb服務器

sonarLint是一個插件,安裝到集成開發工具中IDEA,eclipse,可實時進行代碼掃描

sonarqube、sonar-scanner使用java語言開發,運行時需要jre環境

2、安裝postgreSQL

sonarqube需要數據庫,默認使用M2數據庫,7.9版本後不再支持mysql數據庫,本文使用postgreSQL數據庫。

創建postgres用戶/用戶組

groupadd postgres

useradd -g postgres postgres

postgreSQL部署在postgres用戶HOME目錄

解壓postgreSQL到

/home/postgres/pgsql

創建數據庫目錄

mkdir /home/postgres/data

初始化數據庫

/home/postgres/pgsql/bin/initdb -D /home/postgres/data/
也可以使用相對路徑(下同)

本文將postgreSQL和sonarqube部署在同一臺機器上,

如果postgreSQL和sonarqube部署在不同的機器上,則需要修改postgreSQL配置,允許遠程連接postgreSQL

修改/home/postgres/data/pg_hba.conf文件,在文件最後增加一行,該配置允許所有遠程機器連接。其中32是指IPv4網絡,如果使用的網絡是IPv6網絡改爲64

host    all             all             0.0.0.0/32               password

也可以指定ip連接。

修改/home/postgres/data/postgresql.conf 文件,

listen_addresses = '*'

啓動

/home/postgres/pgsql/bin/pg_ctl -D /home/postgres/data -l pgsql.log start

參數-D指定初始化的數據目錄,-l指定日誌文件

/home/postgres/pgsql/bin/pg_ctl -D /home/postgres/data stop

本地登錄postgreSQL數據庫

/home/postgres/pgsql/bin/psql

創建sonarqube需要的database,user等

postgres=# create user sonar with password 'sonar' ;
CREATE ROLE
postgres=# create database sonarqube owner sonar ;
CREATE DATABASE
postgres=# grant all on database sonarqube to sonar ;
GRANT

注意:每行sql語句的分號前有一空格。

3、sonarqube安裝配置

創建sonar用戶和用戶組,sonarqube中的Elasticsearch 不能使用root用戶啓動。

sonarqube 7.8版本後需要jdk11,貌似sonarqube9++,被掃描的java工程也需要jdk11,未驗證

jdk11解壓到

/home/sonar/jdk-11.0.6

sonarqube解壓到

/home/sonar/sonarqube-8.2.0.32929

sonarqube配置jdk11

/home/sonar/sonarqube-8.2.0.32929/conf/wrapper.conf
配置文件中
配置項,指定使用jdk11,高版本sonarqube必須使用jdk11
wrapper.java.command=/home/sonar/jdk-11.0.6/bin/java

sonarqube配置數據源

/home/sonar/sonarqube-8.2.0.32929/conf/sonar.properties
文件中找到postgresql的配置
sonar.jdbc.url=jdbc:postgresql://127.0.0.1/sonarqube?currentSchema=public
sonar.jdbc.username=sonar
sonar.jdbc.password=sonar

soanrqube機器參數調整

/etc/sysctl.conf文件最後添加一行,ElasticSearch需要該參數,至少262144

vm.max_map_count=262144

使修改參數生效
sysctl -p

修改機器open files,max user processes參數,改爲65536,如何修改此處不贅述。

查看open files ,max user processes 參數
ulimit -a

啓動sonarqube

/home/sonar/sonarqube-8.2.0.32929/bin/linux-x86-64/sonar.sh start

sonarqube端口默認9000,可在sonarqube-8.2.0.32929/conf/sonar.properties配置文件中修改

sonar.web.port=9000

訪問 http://192.168.25.135:9000,本文sonarqube部署在虛擬機192.168.25.135中。

4、sonar-scanner掃描代碼

下載sonar-scanner

sonar-scanner是掃描代碼的工具,sonar-scanner有多種,包括原生的,maven版本,gradle版本,ant版本,jenkins版本等

原生版本可以掃描任何工程,maven版本可以讓maven工具在構建工程的過程中調起sonar-scanner,其他版本類似。

4.1 準備工程

本地創建工程 demo-sonar,本文使用demo-sonar工程名

D:\workspace\test-demo\demo-sonar

sonarqube創建新項目,本文中project key使用工程名demo-sonar,project key很重要,sonar-scanner會使用。

點擊Set Up進入下一步,生成project的 token,該token是sonar-scanner與sonarqube交互時的認證方式之一。

輸入token的name,點擊Generate按鈕生成token,本文使用工程名demo-sonar作爲token的name,

生成token:  3f2a887f97da1e1a4edc7b98aa16700ba098532c

 

4.1 原生sonar-scanner使用

本文使用windows版本演示如何使用sonar-scanner

下載sonar-scanner-4.2.0.1873-windows

本文將sonar-scanner-4.2.0.1873-windows.zip解壓到

D:\DEV_ENV\sonar-scanner

配置環境變量,將如下目錄加入path

D:\DEV_ENV\sonar-scanner\sonar-scanner-4.2.0.1873-windows\bin

sonar-scanner的配置文件位於

$HOME/conf/sonar-scanner.properties

文件常用配置

#必選參數,sonarqube的url地址,默認http://localhost:9000
sonar.host.url=http://localhost:9000
#必選參數,項目標識,由字母、數字、和至少有一個非數字組成
sonar.projectKey=
#可選參數,在sonarqube界面上顯示的項目名稱
sonar.projectName=
#可選參數,項目版本
sonar.projectVersion=
#可選參數,該參數可用登陸sonarqube的用戶名/密碼,也可以使用sonarqube上創建的project token進行認證。
sonar.login=
#可選參數,如果sonar.login使用sonarqube的用戶名進行認證,則該參數爲sonarqube對應的用戶名的密碼
sonar.password=
#可選參數,sonar-scanner連接sonarqube的時間
sonar.ws.timeout=
#可選參數,sonar-scanner掃描的代碼目錄
sonar.sources=
#可選參數,掃描工程的字符編碼
sonar.sourceEncoding=
#可選參數,設置使用sonar-scanner觸發的分析的工作目錄(版本大於 2.0)。
sonar.working.directory=
#可選參數,項目描述
sonar.projectDescription=
#可選參數,項目主頁
sonar.links.homepage=
#可選參數,項目源存儲庫
sonar.links.scm=
#可選參數,如果自動檢測不起作用,此參數可用於顯式告訴 sonarqube 在項目上使用的 scm
sonar.scm.provider=

使用token掃描示例配置

sonar.host.url=http://192.168.25.135:9000
sonar.projectKey=demo-sonar
sonar.login=3f2a887f97da1e1a4edc7b98aa16700ba098532c
sonar.password=
sonar.sources=D:/workspace/test-demo/demo-sonar
sonar.sourceEncoding=UTF-8
sonar.working.directory=

使用sonarqube用戶名密碼掃描示例配置

sonar.host.url=http://192.168.25.135:9000
sonar.projectKey=demo-sonar
sonar.login=admin
sonar.password=123456
sonar.sources=D:/workspace/test-demo/demo-sonar
sonar.sourceEncoding=UTF-8
sonar.working.directory=

執行掃描,使用命令行

C:\Users>sonar-scanner.bat

配置文件sonar-scanner.properties中的參數也可以直接指定,如:

sonar-scanner.bat  -Dsonar.host.url=http://192.168.25.135:9000/ -Dsonar.projectKey=demo-sonar -Dsonar.login=3f2a887f97da1e1a4edc7b98aa16700ba098532c -Dsonar.password= -Dsonar.sources=D:\workspace\test-demo\demo-sonar

 

4.2 maven版本sonar-scanner使用

在maven的settings文件中配置sonar相關參數,也可以配置在工程的pom文件中,本文配置在maven的settings文件中。

<settings>

    <pluginGroups>
        <pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
    </pluginGroups>

    <profiles>

        <profile>
            <id>sonar</id>
            <activation>
                <activeByDefault>true</activeByDefault>
            </activation>
            <properties>
                <!-- Optional URL to server. Default value is http://localhost:9000 -->
                <sonar.host.url>http://192.168.25.135:9000</sonar.host.url>
                <sonar.projectKey>demo-sonar</sonar.projectKey>
                <sonar.login>admin</sonar.login>
                <sonar.password>123456</sonar.password>
                <sonar.sourceEncoding>UTF-8</sonar.sourceEncoding>
            </properties>
        </profile>

     </profiles>

</settings>

使用maven命令掃描

mvn clean compile sonar:soanr

可指定sonar插件版本

mvn clean compile org.sonarsource.scanner.maven:sonar-maven-plugin:3.9.0.2155:sonar

可以在mvn命令中指定sonar參數,覆蓋settings文件或工程pom文件中的配置

mvn clean compile sonar:sonar -Dsonar.host.url=http://192.168.25.135:9000 -Dsonar.java.binaries=target/sonar -Dsonar.sorceEncoding=UTF-8 -Dsonar.login=admin -Dsonar.password=123456

也可以換行

mvn clean compile sonar:sonar \
-Dsonar.host.url=http://192.168.25.135:9000 \ 
-Dsonar.java.binaries=target/sonar \ 
-Dsonar.sorceEncoding=UTF-8 \ 
-Dsonar.login=admin \ 
-Dsonar.password=123456

sonarLint使用

sonarLint是一個集成開發工具的插件,只能在集成開發工具中使用

sonarLint可以掃描工程,將掃描結果在本地顯示,供開發人員參考,也可以給sonarLint配置sonarQube,將掃描結果上傳到sonarqube上

sonarLint配置、使用較簡單,不贅述。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

sonarQune 環境搭建

本文搭建需要各軟件版本如下 1. SonarQube 10.2版本 2. PostgreSQL 16.2 3. Sonar-scanner 10.2 4. JDK17 一、解壓SonarQube 找到解壓後的conf目錄下的sonar.

原創 2024-04-08 21:09:09

【安裝部署】Apache SeaTunnel 和 Web快速安裝詳解

版本說明 由於作者目前接觸當前最新版本爲2.3.4 但是官方提供的web版本未1.0.0,不兼容2.3.4,因此這裏仍然使用2.3.3版本。 可以自定義兼容處理,官方提供了文檔:https://mp.weixin.qq.com/s/Al1V

原創 2024-04-16 12:22:36

maven項目指定mvn版本打包

指定版本項目路徑配置:.mvn/wrapper maven-wrapper.properties distributionUrl=https://repo.maven.apache.org/maven2/org/apache/maven/

原創 2024-04-15 23:27:08

低代碼集成Java系列:高效構建自定義插件

前言 隨着軟件開發的快速發展和需求的不斷增長,開發人員面臨着更多的壓力和挑戰。傳統的開發方法需要花費大量的時間和精力,而低代碼開發平臺的出現爲開發人員提供了一種更加高效、快速的開發方式。今天小編就以構建命令插件爲例,展示如何使用Java語言

原創 2024-04-15 10:22:44

spring-boot-maven-plugin的jar包拉不下來

參考地址: https://developer.aliyun.com/mvn/guide   spring-boot-maven-plugin不在central倉庫,而是在grail-core倉庫中,需要把<mirrorOf>central

原創 2024-04-13 23:30:37

jar包衝突組建設計書

. 背景 實際開發過程中,使用maven管理jar給我們開發帶來了很多便利,不需要自己一個一個的jar包下載了,只需要配置個pom配置文件就可以了,寫上對應座標和倉庫地址就可以了。但是jar衝突沒問題沒有解決,有衝突的jar包maven不

原創 2024-04-08 23:16:36

代碼手術刀—自定義你的代碼重構工具

Tech 01   前言 在今年的敏捷團隊建設中,我通過Suite執行器實現了一鍵自動化單元測試。Juint除了Suite執行器還有哪些執行器呢?由此我

京東雲開發者 2024-04-07 11:15:29

運維人少,如何批量管理上百個微服務、上千條流水線?

作者:周靜 隨着微服務和雲原生技術的發展,一個業務系統往往由多個微服務應用組成,多個業務方向涉及幾十上百應用。每個應用研發過程又劃分爲測試、預發、生產多條流水線,也即成百上千條流水線。而一個企業下通常只有 1~2 個運維或架構師負責這些應用

原創 2024-03-21 21:13:40

基於免費算法SDK和SpringBoot框架,實戰完整人臉識別系統

人工智能時代的到來,相信大家已耳濡目染,虹軟免費,離線開放的人臉識別 SDK,正推動着全行業進入刷臉時代。爲了方便開發者接入,虹軟提供了多種語言,多種平臺的人臉識別SDK的支持,使用場景廣泛。產品主要功能有:人臉檢測、追蹤、特徵提取、特徵比

glen_xu 2024-03-19 02:32:55

CVE-2023-49442 利用分析

1. 漏洞介紹 JEECG(J2EE Code Generation)是開源的代碼生成平臺,目前官方已停止維護。JEECG 4.0及之前版本中,由於/api接口鑑權時未過濾路徑遍歷,攻擊者可構造包含 ../的url繞過鑑權。攻擊者可構造惡

原創 2024-03-12 11:20:14

「乾貨盤點」IntelliJ IDEA離線開發使用要點(二)

IntelliJ IDEA是java編程語言開發的集成環境。IntelliJ在業界被公認爲最好的Java開發工具,尤其在智能代碼助手、代碼自動提示、重構、JavaEE支持、各類版本工具(git、svn等)、JUnit、CVS整合、代碼分析、

原創 2024-03-11 12:33:18

Springboot配置加密jasypt

一、前言 1、jasypt使用手冊 ulisesbocchio/jasypt-spring-boot: Jasypt integration for Spring boot (github.com) 2、springboot使用,只需要引入

原創 2024-03-08 00:22:08

Java agent技術的注入利用與避坑點

什麼是Java agent技術? Java代理(Java agent)是一種Java技術,它允許開發人員在運行時以某種方式修改或增強Java應用程序的行爲。Java代理通過在Java虛擬機(JVM)啓動時以"代理"(agent)的形式加載

原創 2024-03-06 23:50:31

如何在 Java 中以編程的方式將 CSV 轉爲 Excel XLSX 文件

前言 Microsoft Excel的XLSX格式以及基於文本的CSV(逗號分隔值)格式,是數據交換中常見的文件格式。應用程序通過實現對這些格式的讀寫支持,可以顯著提升性能。在本文中,小編將爲大家介紹如何藉助葡萄城公司地Java API組件

原創 2024-03-04 22:53:30

一文詳解應用安全防護ESAPI

本文分享自華爲雲社區《應用安全防護ESAPI》,作者: Uncle_Tom。 1. ESAPI 簡介 OWASP Enterprise Security API (ESAPI)是一個免費、開源的web應用程序安全控制庫,使程序員更容易編寫

原創 2024-02-04 10:57:56