Windows+SonarQube+Jenkins+Git+SonarPython配置持续集成的代码质量平台

Windows+Sonar+Jenkins+Git+SonarPython配置持续集成的代码质量平台

本文以Python项目为例，构建了一个基于Windows+Sonar+Jenkins+Git的持续集成且支持代码自动分析的平台

---

1.1 Java中主流代码分析工具对比

@ PMD Findbugs CheckStyle Sonar 运行方式 IDE插件，独立运行 IDE插件，独立运行，Findbugs+Jenkins CI集成运行 IDE插件 独立运行，需要单独的MySQL源 运行原理 基于源代码分析，主要面向安全编码规则，如“避免声明同名变量”，包括风格类、类型使用等等，具备一定的数据流分析和路径分析能力。 基于字节码分析，大量使用数据流分析技术，侧重运行时错误检测，如空指针引用等，分析深度大于PMD及Checkstyle。 基于源代码，与pmd类似，但更侧重编码的语法风格，分析深度不及PMD。 定位是代码质量平台，本身不进行代码分析，但可以集成各个静态分析工具以及其他软件开发测试工具，并基于集成工具的结果数据按照一定的质量模型，如iso-9126，对软件的质量进行评估。 目的 检查Java源文件中的潜在问题 基于Bug Patterns概念，查找javabytecode（.class文件）中的潜在bug 检查Java源文件是否与代码规范相符 作为代码质量平台，通过集成工具对软件质量进行评估 检查项 空try/catch/finally/switch语句块，未使用的局部变量、参数和private方法，空if/while语句，过于复杂的表达式，不必要的if语句等，复杂类 主要检查bytecode中的bug patterns，如NullPoint空指针检查、没有合理关闭资源、字符串相同判断错（==，而不是equals）等 Javadoc注释命名规范多余没用的ImportsSize度量，如过长的方法缺少必要的空格Whitespace重复代码 在其他代码质量工具的基础上，sonar不仅关注了常规静态bug，还关注到了如代码质量、包与包，类与类之间的依赖情况、代码耦合情况、类，方法。文件的复杂度、代码中是否包含大量复制粘贴的代码是质量低下的，关注到了项目代码整体的健康情况。 优点 插件可以配置规则，有独立显示问题的视图 规则严格，但可以通过修改规则集定义需要的规则 FindBugs 大多数提示是有用且值得更改的 提供图形界面的独立程序，对jar进行检测，有报告生成，非常方便 规则严格，但可以通过修改规则集定义需要的规则 High级别的bug都是较为实用的bug，且能覆盖到一些性能方面的问题 缺点 配置无查找功能，但可以通过缩写快速找到某个规则 很多功能插件没有实现，可独立使用，但无法同时修改源码 只能做检查，不能修改代码，可配合Jalopy使用修改代码 插件自定义规则没有查找功能，查找规则麻烦 其本身规则的实用程度不如Findbugs

---

1.2 SonarQube介绍

---

与持续集成工具（例如 Hudson/Jenkins 等）不同，Sonar 并不是简单地把不同的代码检查工具结果（例如 FindBugs，PMD 等）直接显示在 Web 页面上，而是通过不同的插件对这些结果进行再加工处理，通过量化的方式度量代码质量的变化，从而可以方便地对不同规模和种类的工程进行代码质量管理。

在对其他工具的支持方面，Sonar 不仅提供了对 IDE 的支持，可以在 Eclipse 和 IntelliJ IDEA 这些工具里联机查看结果；同时 Sonar 还对大量的持续集成工具提供了接口支持，可以很方便地在持续集成中使用 Sonar。此外，Sonar 的插件还可以对 Java 以外的其他编程语言提供支持，对国际化以及报告文档化也有良好的支持。

Sonar 为代码的质量管理提供了一个平台，对传统的代码静态检测如 PMD、FindBugs 等工具进行整合，可以说是目前最强大的代码质量管理工具之一。

Sonar 目前支持的语言：C/C++/JavaScript/C#/Java/COBOL/PL/SQL/PL/I/PHP/ABAP/VB.NET/VB6/Python/RPG/Flex/Objective-C/Swift/Web/XML

---

1.3 SonarQube整体架构：

---

---

2.1 部署SonarQube

1. 下载SonarQube
2. 将SonarQube压缩包解压缩，执行/bin/windows-x86-64/StartSonar.bat 即完成了Sonar的启动
3. 打开浏览器，登入http://localhost:9000
4. 安装SonarPython插件
5. [可选安装]安装Chinese Pack差价可以获得中文支持

插件的安装方法：

1. 点击右上角的Login
2. 键入默认管理员用户名及密码 admin ，登陆
3. 点击Administration，找到System->Update Center
4. 搜索插件名字，点击install，然后点击Restart重启Sonar，完成安装。卸载同理

---

2.2 部署SonarQube Scanner

1. 将 SonarQube Scanner 压缩包解压到位置（如C:\sonar-scanner)，将bin目录添加到环境变量中（C:\sonar-scanner\bin）
2. （测试）打开CMD，cd到项目根目录，键入

sonar-scanner -Dsonar.projectKey=自定义projectkey -Dsonar.sources=. -Dsonar.projectName=自定义projectname -sonar.projectVersion=1.0

官方文档有一个坑，就是并没有定义projectName及projectVersion，实际测试中是必须定义的
其中-D 用来定义变量，加入-X 可以加入更多debug信息
若没有出错，说明部署成功，打开浏览器进入Dashboard，可以看到刚新建的项目代码分析结果。

---

2.3 部署Jenkins

Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能。

1. 下载Jenkins，选择Windows
2. 运行Jenkins安装文件，安装完成后会跳出部署设置（默认地址：http://127.0.0.1:8080）
3. 第一次会要求键入一个admin密码，这个密码存在Jenkins\secrets\initialAdminPassword 这个文件中，用记事本打开，复制密码粘贴到浏览器中即可，同样的，日后如果忘记管理员密码，也可以找到这个文件使用这个密码登录管理员账户。
4. 安装 SonarQube Scanner for Jenkins 插件
5. 进入 系统管理->Global Tool Configuration ，新增SonarQube Scannner，不勾选自动安装
   Name键入SonarQube Scanner
   SONAR_RUNNER_HOME键入SonarQube的绝对目录（如C:\sonar-scanner）
6. 点击Save保存
   

   Jenkins插件安装方法
   进入 系统管理->插件管理->可选插件，在搜索框中搜索需要安装的插件，点击直接安装，然后重启Jenkins

---

2.4 本文省略但必须做的步骤：

• 安装Git

---

2.5 将Git项目添加到Jenkins并自动完成代码检测

1. 打开Jenkins控制台->新建项目->选择 构建一个自由风格的软件项目 ->输入项目名，下一步
2. 源码管理选择Git
   Repository URL键入项目Git地址 如 https://github.com/HiddenStrawberry/JDPackage.git
   Credentials 为认证方式，点击Add添加认证， 这里可以选择多种认证方式，本文选择Github用户名/密码登录，所以选择Username with Password，填入Github的Username及Password，点击Add，然后选择刚添加的账户。
3. 点击下方构建->新建构建步骤-> Execute SonarQube Scanner
4. SonarQube Scanner选择SonarQube Scanner
   Analysis properties键入如下内容：

   sonar.projectKey=myjdp    sonar.projectName=myjdp   sonar.projectVersion=1.0   sonar.sources=.

注意中间没有逗号，key，name，version为自定义，其他选项留空（本例），点击保存

5. 在控制台中找到项目，点击立即构建，若构建后状态灯为蓝色，即为构建成功，若为红色，进入Build History构建失败的#次数，找到左边的Console Output，即可查看控制台中输出的错误原因。
6. 在控制台中找到项目，点击SonarQube，即可查看代码分析内容。

---

3.1 性能分析：

---

在2G/双核E5 V3 2.4GHz 新配置环境主机 上运行上述64位服务，物理内存占用约为80%，在运行构建时，CPU占用峰值可达80%，内存占用峰值达90%，由此可见SonarQube在代码分析时占用资源较大。

---

4.1 引用：

---

如何静态测试 Java 代码？
Findbugs使用
PMD使用
Eclipse静态分析插件使用
PMD、FindBug、checkstyle、sonar这些代码检查工具的区别？各自的侧重点是什么？
FindBugs、PMD和CheckStyle对比
构建基于Jenkins + Github的持续集成环境
SonarPython - Plugins - Doc SonarQube