sonarqube 规则-苏州华克斯

Sonarqube衡量代码质量的几个指标

1.Bugs Bug是出现了明显错误或是高度近似期望之外行为的代码。

2.漏洞 漏洞是指代码中可能出现被hacker利用的潜在风险点。

3.安全热点 安全敏感代码需要手工审核，以便判断是否存在安全漏洞。

4.异味 代码异味会困扰代码的维护者并降低他们的开发效率。主要的衡量标准是修复它们所需的时间。

5.重复率 新代码中的重复行密度 (%)，重复行数，重复代码块

6.行数 程序中代码的行数

SonarQube组成结构

1. SonarQube Platform，就是SonarQube服务器，这是SonarQube运行的基础。

首先解压缩SonarQube的发布软件；

必要的情况下配置解压缩目录下的sonarqube/conf/perties文件；

启动SonarQube Platform：

Windows下执行t

Linux下执行sonarqube/bin/ start c0nsole

启动成功，可登录的用户名和密码为

注意，在实验验证阶段，SonarQube Platform默认使用H2数据库；但是在生产环境中，代理商sonarqube 规则，还需要使用MySQL等其他企业级数据库服务器。

2. SonarQube Scanner，即分析项目代码的默认启动器

首先解压缩SonarQube Scanner；

必要情况下，配置文件sonar-scanner/conf/sonar-perties；建议配置如下：

每次提交前的分析，设置参数sonar.analysis.mode=preview

每天都要执行的CI分析，设置参数sonar.analysis.mode=publish

启动SonarQube Scanner：

Windows下执行sonar-t

Linux下执行sonar-scanner/bin/sonar-scanner

3.分析项目

首先根据项目代码的编程语言，中国sonarqube 规则，在线安装必要的SonarQube插件，以支持项目使用的编程语言；

然后，cd到要分析的项目目录下，如some/projects/java/myproject/

在项目目录下创建并配置sonar-perties文件

Sonarqube代码分析

1.Analyzing with SonarQube Runner

该方法适用于所有不同架构的项目，sonarqube 规则，包括没有使用任何源代码管理工具的项目形式，中国sonarqube 规则，以及使用各种不同代码管理工具（SVN、Git、ClearCase 等）和编译工具（ant，maven）的项目形式，它都能够适用。

安装后，将bin配置到系统的环境变量里去。

1.配置sonar-scanner

2.在项目工程下新建sonar-perties配置文件

切换到项目主目录下命令行运行：sonar-runner，即可完成代码扫描

如果项目包含多个模块，则该配置文件应如下图所示配置：