中国sonarqube静态安全扫描工具-华克斯

SonarQube常见问题

1.忘记密码

执行以下sql将密码还原为admin

2.源码乱码

在Issue中查看源码，四川sonarqube静态安全扫描工具，中文变成了乱码。需要设置项目的sonar-perties文件。

增加红色加粗字体的内容，设置源码的编码为UTF-8。需要重新执行sonar-runner生效。

3.获取163邮箱授权客户端

(1)登录163邮箱

(2)设置 → 常规设置

(3)客户端授权密码 → 开启，会提示需要手机验证码验证，按提示操作即可。

(4)短信验证码验证成功后，可以输入授权码。将该授权码记录下来，代理商sonarqube静态安全扫描工具，方便后续使用。

4.JDK版本

当sonar-scanner所在机器上安装了多个JDK的时候，需要为sonar-scanner的运行JDK版本。修改sonar-scanner_home/bin/sonar-t

Sonarqube衡量代码质量的几个指标

1.Bugs Bug是出现了明显错误或是高度近似期望之外行为的代码。

2.漏洞 漏洞是指代码中可能出现被hacker利用的潜在风险点。

3.安全热点 安全敏感代码需要手工审核，以便判断是否存在安全漏洞。

4.异味 代码异味会困扰代码的维护者并降低他们的开发效率。主要的衡量标准是修复它们所需的时间。

5.重复率 新代码中的重复行密度 (%)，重复行数，重复代码块

6.行数 程序中代码的行数

SonarQube整体介绍

SonarQube为静态代码检查工具，采用B/S架构，中国sonarqube静态安全扫描工具，帮助检查代码缺陷，改善代码质量，提高开发速度，通过插件形式，可以支持Java、C、C++、JavaScripe等等二十几种编程语言的代码质量管理与检测。

通过客户端插件分析源代码，sonar客户端可以采用IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式，代理商sonarqube静态安全扫描工具，并通过各种不同的分析机制对项目源代码进行分析和扫描，并把分析扫描后的结果上传到sonar的数据库，通过sonar web界面对分析结果进行管理