静态代码扫描工具 Sonar 配置及使用

概览

Sonar 是一个用于代码质量管理的开放平台。通过插件机制，Sonar 可以集成不同的测试工具，代码分析工具，以及持续集成工具。与持续集成工具（例如 Hudson/Jenkins 等）不同，Sonar 并不是简单地把不同的代码检查工具结果（例如 FindBugs，PMD 等）直接显示在 Web 页面上，而是通过不同的插件对这些结果进行再加工处理，通过量化的方式度量代码质量的变化，从而可以方便地对不同规模和种类的工程进行代码质量管理。

在对其他工具的支持方面，Sonar 不仅提供了对 IDE 的支持，可以在 Eclipse 和 IntelliJ IDEA 这些工具里联机查看结果；同时 Sonar 还对大量的持续集成工具提供了接口支持，可以很方便地在持续集成中使用 Sonar。此外，Sonar 的插件还可以对 Java 以外的其他编程语言提供支持，对国际化以及报告文档化也有良好的支持。

主要特点：

代码覆盖：通过单元测试，将会显示哪行代码被选中
改善编码规则
搜寻编码规则：按照名字，插件，激活级别和类别进行查询
项目搜寻：按照项目的名字进行查询
对比数据：比较同一张表中的任何测量的趋势

SonarQube 安装与配置

Sonar 是 Codehaus 上面的一个开源项目，使用的是 LGPL V3 软件许可。我们可以在其官方网站上下载其源代码及安装包。下载网址为：Download | SonarQube | Sonar，LTS 版本是长期支持版本，后期会继续维护，是比较稳定的版本，因此，这里我们选择下载的是 LTS 版（V5.6.6）。注意：本版本的 SonarQube 需要 Java 8 及以上的环境，下载完毕压缩包后，解压到合适的目录下。打开软件的 bin 目录，如下图所示

根据自己的电脑系统，打开不同的目录。例如：我的电脑是 windows7 64 位，打开最下方的目录，运行 StartSonar.bat，然后在浏览器中访问：http://localhost:9000/ （SonarQube 默认访问地址），成功打开即说明，SonarQube 安装成功。如下图所示（已安装中文插件）：

SonarQube 的默认管理员账号是：admin，密码为：admin。登录后，可安装一些插件，帮助我们完成相应的任务，例如：中文语言插件、SonarJS 插件等。插件的安装，如下图所示：第一步点击左上角的 ”Administration”，跳转到 Administrator 界面。

在 Administrator 界面，下拉 Syetem 选项，点击 Update Center，会跳转到 Update Center 界面。在这个界面上，可以清楚的看到当前已安装了那些插件，如下图所示：

这里我们需要安装两个插件：一个中文语言包，一个 JS 静态代码扫描插件 SonarJs（如果已安装，需要更新到3.1.1.5128或更高版本）。

点击 “Available”，显示所有可以安装的插件，我们选择安装中文语言包 Chinese Pack 和 JS 静态代码扫描插件 SonarJS，如下图所示：

如果安装的过程中，出现无法下载的异常，如下图所示：

根据它提示的信息，到对应的网站下载该插件。下载完成后，把下载的 jar 包复制到 SonarQube 安装的目录 plugins 目录下，例如：E:\Program Files (x86)\sonarqube-5.6.6\extensions\plugins，然后重启 SonarQube，即可实现插件的安装。

关于 SonarQube 重启，值得注意的是：除了需要关闭 SonarQube 控制台外，还需要调用任务管理器，把正在运行的 java.exe 进程都给杀死，然后再次运行 StartSonar.bat，方可重启SonarQube。经过以上软件和插件的安装，JS 代码静态扫描的环境已完成搭建，接下来就是根据不同的项目，设置不同的 SonarQube 配置项。对于 Android 混合应用，进行 JS 代码静态扫描，有两种工具以完成：使用 AS 的插件 SonarLint、使用 Sonar-Runner。无论使用哪种方式，都需要在 SonarQube 配置对应的项目，如下图所示：

通过以上步骤，进入到项目配置界面，如下图所示：点击 Create Project，创建一个项目，其中 Name 和 Key 是必填项。如下图所示：

两种扫描方式

SonarLint 插件

打开 Android Studio(示例版本：2.3.3)，打开 File-----Settings----Plugins----Browse Repositories，搜索 SonarLint，安装此插件，如下图所示：

接下来配置 SonarLint 插件：打开 File----Settings----Other Settings----SonarLint General Setting，添加一个 SonarQube服务，如下图所示：

击 next，需要选择账号类型，及账户名与密码，如下图所示：

账户名与密码均为：admin，点击 next，完成 SonarQube 服务的设置，设置成功后，会出现以下界面，如图所示：

点击下方的 “Update binding”，更新 SonarQube 服务的配置信息。接着配置 SonarLint Project Settings，如下图所示：

下拉选择服务 “Sonar”，选择 SonarQube 服务创建的项目 ”hsdzda”，点击 apply，ok。通过以上配置，完成插件 SonarLint 的配置。接下来，指定项目进行静态代码扫描，如下图所示：

Sonar-Runner 工具

AS 插件扫描代码的方式，方便开发人员修改，但这并不适合测试人员进行 bug 的后期管理及后期接入 CI 中。使用 Sonar-Runner，可把扫描结果上报到 SonarQube 网站上，网站以图形化的效果进行展示，方便测试人员快速上报及bug后期管理。使用 Sonar-Runner 工具，需要先下载这个工具，并配置对应的环境变量，下载地址为：http://repo1.maven.org/maven2/org/codehaus/sonar/runner/sonar-runner-dist/2.4/sonar-runner-dist-2.4.zip，下载完成后，解压到合适的目录（不要包含中文）。打开电脑的高级系统配置，配置环境变量。新建一个系统环境变量，变量名为 ”SONAR_RUNNER”，变量值为刚才解压的文件目录，例如：E:\Program Files (x86)\sonar-runner-2.4。编辑系统环境变量path，添加 Sonar-Runner 的 path 变量值，例如：%SONAR_RUNNER_HOME%\bin; 点击确定。配置完成后，打开控制台，输入sonar-runner –h,然后回车，显示如下信息，即说明配置成功。

在需要扫描的项目根目录下，创建一个名为 ”sonar-project.properties” 文件，配置信息如下所示：

其中 sonar.projectKey 和 sonar.projectName 为之前 SonarQube 服务上的项目配置信息，必须要保持一致。Sonar.sources 为要扫描的目录，这里选择 assets 目录。打开 cmd 窗口，进入到待扫描项目的根目录下，执行命令 sonar-runner，回车，即开始静态代码扫描工作。如下图所示：