sonarqube静态安全扫描工具-华克斯

SonarQube简介

1. sonar简介sonar是一款静态代码质量分析工具，支持Java、Python、PHP、JavaScript、CSS等25种以上的语言，而且能够集成在IDE、Jenkins、Git等服务中，方便随时查看代码质量分析报告；

sonar通过配置的代码分析规则，从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目，风险等级从A~E划分为5个等级；

同时，sonar可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来检验代码质量；

Sonarqube安装版本分析：

蕞新版本是8.9  已整合CI / CD

但是环境依赖比较高：要求 Java 11  且不支持mysql 管理配置元数据

综合考量，sonarqube静态安全扫描工具，功能蕞大化，依赖Java 8，中国sonarqube静态安全扫描工具，且支持mysql管理元数据的蕞后版本

故选择版本   7.8 （20190619日发布）

安装过程安装Java jdk 1.8 （安装过程省略）

安装mysql 5.6.3 （安装过程省略）

安装maven 3.5.2 （安装过程省略）

安装sonarqube

SonarQube工作原理

SonarQube 并不是简单地将各种质量或覆盖率检测工具的结果（例如 CheckStyle、JACOCO 等）直接展现给客户，而是通过不同的插件算法来对结果进行再加工，并蕞终以量化的方式来衡量代码质量，中国sonarqube静态安全扫描工具，从而方便地对不同规模和种类的工程进行相应的代码质量管理，以便进行有针对性的代码修复或重构。

SonarQube 在进行代码质量管理时，会从以下的七个纬度对项目代码质量进行分析