持续代码质量平台Sonar-4Android

in SCM

参考链接:

系统环境:

  • Gradle: 2.10
  • Sonarqube: 6.3.1

背景:

1
2
3
公司使用java语言开发Android项目,使用Gradle作为构建工具。
默认的Sonarway java规则也可以进行静态代码扫描。
希望增加业界常用的Android lint规则进行扫描,本文记录配置使用方法。

Sonarqube 安装 Android lint插件

logo
点击Quality Profiles查看Android Lint规则
logo

Sonarqube 配置Android项目扫描规则

我们配置一个新的Quality Profiles/java用于Android项目扫描。

新规则 包含Java Sonar way的Bugs、Vulnerabilities 和 Android Lint的Code Smells
logo
logo
logo
logo
logo
logo
logo

本地配置使用

  • 配置系统gradle.properties增加下面内容 (~/.gradle/gradle.properties)
1
2
3
systemProp.sonar.host.url=http://ip:9000
#----- Security (when 'sonar.forceAuthentication' is set to 'true')
systemProp.sonar.login=个人token
  • 修改项目build.gradle 相应位置增加下面配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
apply plugin: "org.sonarqube"
buildscript {
    repositories {
        maven{url "https://plugins.gradle.org/m2/"}
    }
    dependencies {
        classpath "org.sonarsource.scanner.gradle:sonarqube-gradle-plugin:2.5"
    }
}
sonarqube {
    androidVariant 'fullDebug'
	properties {
        property "sonar.projectName", "项目名称"
        property "sonar.projectKey", "项目Key"
        property "sonar.projectDescription", "项目描述"
        property "sonar.projectVersion", "项目版本"
        property "sonar.profile", "Android(上面新建的profile名称)"
        property "sonar.android.lint.report", "./build/outputs/lint-results-debug.xml"
	}
}

  • 执行gradle lintDebug 生成lint-results-debug.xml

  • 执行gradle Sonarqube 构建、分析、上传

Comment and share

持续代码质量平台Sonar-3使用

in SCM

Analyzing Source Code

参考链接:官方文档

本文只涉及maven和sonar-scanner方式,其它请参考上面链接。

Maven

适合Maven项目

  1. 在sonarqube平台上面个人账户生成token。
  2. 在本机的mvn配置settings.xml 增加下面配置
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    <profile>
        <id>sonar</id>
        <activation>
            <activeByDefault>true</activeByDefault>
        </activation>
        <properties>
            <sonar.host.url>http://ip:9000</sonar.host.url>
            <sonar.login>第一步生成的token值</sonar.login>
        </properties>
    </profile>
  3. 代码库执行打包:mvn clean install
  4. 代码库进行分析并上传sonarqube平台:mvn sonar:sonar

PS:

1
2
3
4
5
6
7
8
9
10
11
12
如果代码库pom文件配置如下
    <groupId>ggg</groupId>
    <artifactId>aaa</artifactId>
    <version>1.0.0</version>
    <name>nnn</name>
那么分析上传到sonarqube平台:
    对应的项目key为ggg:aaa
    对应的项目名称为nnn
    对应的版本为:1.0.0
注意
    不要找错项目了。
    同一个key指向的项目永远显示的是最新的一次代码分析结果。

Sonar-scanner

适合所有项目

  1. 下载Sonar-scanner,设置环境变量,配置/conf/sonar-scanner.properties
    1
    2
    3
    4
    5
    6
    7
    #Configure here general information about the environment, such as SonarQube DB details for example
    #No information about specific project should appear here
    #----- Default SonarQube server
    sonar.host.url=http://ip:9000
    #----- Default source code encoding
    sonar.sourceEncoding=UTF-8
    sonar.login=个人账户生成的token
  2. 在项目根目录增加sonar-project.properties,内容如下:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    # must be unique in a given SonarQube instance
    sonar.projectKey=ggg:aaa            #对应的项目key为ggg:aaa
    # this is the name and version displayed in the SonarQube UI. Was mandatory prior to SonarQube 6.1.
    sonar.projectName=nnn               #对应的项目名称为nnn
    sonar.projectVersion=1.0.0          #对应的版本为:1.0.0
    # Path is relative to the sonar-project.properties file. Replace "\" by "/" on Windows.
    # This property is optional if sonar.modules is set.
    sonar.sources=.
    sonar.java.binaries=target/classes    #配置为项目具体的class目录,如果不配置的话只进行源代码分析
    # Encoding of the source code. Default is default system encoding
    #sonar.sourceEncoding=UTF-8
  3. 执行扫描分析:
    Build(可以不执行构建)
    sonar-scanner

API

点击:http://ip:9000/web_api/ ,查看Sonarqube支持的web_api。

以Python2.7 为例简单介绍api使用:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
#! /usr/bin/env python
# -*- coding: utf-8 -*-
import requests

s = requests.session()
user_info = {'login': 'username', 'password': 'pass'}
api_url = 'http://ip:9000/api'
# 登录
res_login = s.post(
    '%s/authentication/login' % api_url, data=user_info)
# 获取指定项目未解决Bugs详情
res_bugs = s.get(
    '%s/issues/search' % api_url, params={'componentKeys': 'ggg:aaa', 'types': 'BUG', 'resolved': 'false', 'ps': 500})
# 解析结果获取未解决bugs总数
total_bugs = res_bugs.json()[u'paging'][u'total']
# 获取指定项目新增未解决Bugs详情
res_new_bugs = s.get(
    '%s/issues/search' % api_url, params={'componentKeys': 'ggg:aaa', 'types': 'BUG', 'resolved': 'false', 'ps': 500, 'sinceLeakPeriod': 'true'})
# 解析结果获取新增bugs总数
new_bugs = res_new_bugs.json()[u'paging'][u'total']
# 登出
res_logout = s.post(
    '%s/authentication/logout' % api_url)

Comment and share

持续代码质量平台Sonar-2配置

in SCM

关联LDAP:

登录Sonarqube服务器,修改安装目录下的conf\sonar.properties文件。

1
2
3
4
5
6
7
8
9
10
11
12
# LDAP configuration
# General Configuration
sonar.security.realm=LDAP
ldap.url=ldap://ip:389
ldap.bindDn=cn=Manager,dc=xxx,dc=xxx,dc=xxx
ldap.bindPassword=xxx

# User Configuration
ldap.user.baseDn=ou=People,dc=xxx,dc=xxx,dc=xxx
ldap.user.request=(&(objectClass=inetOrgPerson)(uid={0}))
ldap.user.realNameAttribute=cn
ldap.user.emailAttribute=mail

然后重启Sonarqube服务,即可使用LDAP账户进行登录。

下面配置涉及下图:
logo

插件:

  • 参考链接:官方文档
  • 插件安装、更新有两种方法:
    1. 手动下载后,上传到Sonarqube服务器安装目录下的\extensions\plugins,然后重启Sonarqube服务。
    2. 管理员账户登录Sonarqube,点击Administration - System - Update Center,进行安装or更新插件。(推荐!)

配置邮件发送:

  1. 使用管理员账户登录Sonarqube,
  2. 点击:Administration - General Settings
  3. 找到Email配置区域,涉及以下几个SMTP配置:
    1
    2
    3
    4
    5
    6
    7
    8
    # 下面以QQ邮箱为例
    SMTP port               465
    SMTP host               smtp.exmail.qq.com
    From address            xxx@qq.com
    Email prefix            [SONARQUBE]
    Secure connection       ssl
    SMTP password           对应上面账户的密码
    SMTP username           xxx@qq.com

权限相关:

因为Sonarqube是为了发现代码问题,所以会在结果中展示源代码。为了代码安全,需要对权限进行配置。

Force user authentication

1
2
3
使用管理员账户登录Sonarqube,点击Administration - General Settings - security
    Force user authentication   ☑️              强制必须登录后才能使用
    Default user group          sonar-users     默认新用户所在组

Users

1
2
3
4
使用管理员账户登录Sonarqube,点击Administration - Security - Users
    此页面可以创建、修改、删除用户。
    此页面还可以调整用户所在组信息。
    如果是关联了LDAP,那么用户只有先使用LDAP账户登录后,才能在此查看到。

Groups

1
2
3
4
5
6
使用管理员账户登录Sonarqube,点击Administration - Security - Groups
    此页面可以创建、删除组。
    此页面还可以调整组用户。
    默认存在下面2个组:
        sonar-administrators
        sonar-users

Global Permissions

1
2
3
4
5
6
7
使用管理员账户登录Sonarqube,点击Administration - Security - Global Permissions
    此页面配置组用户的全局权限:
        Administer System               系统管理员                           sonar-administrators
        Administer Quality Profiles     可以配置Quality Profiles             sonar-administrators
        Administer Quality Gates        可以配置Quality Gates                sonar-administrators
        Execute Analysis                可以执行代码库分析                     sonar-users 或者 创建的组
        Create Projects                 可以上传新代码库分析                   sonar-users 或者 创建的组

Permission Templates

1
2
3
4
5
6
7
8
使用管理员账户登录Sonarqube,点击Administration - Security - Permission Templates
    此页面配置项目模版权限。
    此页面还可以设置默认模版(新项目自动设置为默认模版权限)。
        Browse                         查看项目状态
        See Source Code                查看项目源代码
        Administer Issues              对此项目的问题进行判断、评论、更改状态
        Administer                     项目管理员
        Execute Analysis               执行代码库分析

Project PermissionsGrant

配置项目权限,有下面两种方法:

  1. 只需要项目管理员权限即可
    1
    2
    3
    点击项目界面 - Administration - Permissions
        可以增加、删除、更新组or个人对此项目权限
        可以使用权限模版对此项目进行赋权
  2. 需要系统管理员权限
    1
    2
    3
    使用管理员账户登录Sonarqube,点击Administration - Projects - Management
        此界面展示所有项目,找到需要修改项目后。
        点击最右边的Actions,进行权限修改or使用权限模版进行权限更新。

规则配置:

配置扫描使用的规则
logo

Comment and share

  • page 1 of 1
Author's picture

Weilong

    Write something about work-life:
    • Project management
    • Process improvement

PM


Shenzhen