一、前言

最近出于SDL的安全需求，打算部署一个静态代码扫描工具，出于通用性和可靠性的考虑，选择sonarqube来执行静态代码扫描。
SonarQube 是一个用于进行代码质量管理的开源平台，它提供了代码静态分析、代码检查、代码覆盖率等功能。下面是 SonarQube 的一些优缺点：
优点：

• 全面的代码质量管理： 提供了全面的代码质量管理功能，包括代码静态分析、代码规范检查、代码重复检测、单元测试覆盖率等。
• 支持多种变成语言。
• 易于集成： SonarQube 可以与持续集成工具（如 Jenkins、GitLab CI）以及代码版本控制系统（如 Git、SVN）进行集成，使得代码质量分析可以自动化执行。
• 详细的报告和指标： SonarQube 提供了详细的报告和指标，包括代码质量、安全漏洞、技术债务等方面的数据。
• 活跃的社区支持： SonarQube用户基数大， 有一个活跃的社区，提供了丰富的文档、教程和插件。

缺点：

• 资源消耗较大： 进行代码质量分析需要消耗一定的系统资源，尤其是对大型项目和复杂代码库来说，可能会占用较多的内存和处理器资源。
• 配置复杂： SonarQube 的配置比较复杂，需要对各种规则和插件进行合理的配置，以适应项目的需求和团队的开发规范。
• 部分功能需要付费： SonarQube 的企业版提供了一些高级功能和支持服务，但需要付费购买。如果只需要一些基础实现还是足够了。

二、安装部署

由于docker部署的方便性，本文也会采用docker部署的方式来进行。
下文中的操作都是基于centos7来执行的。

2.1 基础系统配置

主机：4核8g
注：如果代码项目不大的话可以使用4g内存，程序的性能瓶颈主要出现在内存上，如果内存不够会导致扫描异常结束，提示在执行扫描时提示java占用内存不足。
docker：Docker Engine - Community -25.0.3
注：使用docker安装需要使用docker compose ，请确保自己安装的docker版本包含compose组件。
在centos7的环境下，直接使用yum安装的docker版本过低，可能会导致安装异常。需要自己指定源安装，相关教程在此不多提及。
虚拟内存：vm.max_map_count=262144

vim /etc/sysctl.conf # 手动设置最大虚拟内存
vm.max_map_count=262144