一，引言

對(duì)于今天所分析的 SonarQube，首先我們得了解什么是 SonarQube ? SonarQube 又能幫我們做什么？我們是否在項(xiàng)目開(kāi)發(fā)的過(guò)程中遇到人為 Review 代碼審核規(guī)范？帶著以上問(wèn)題，開(kāi)始今天的分析內(nèi)容吧 !!!

1）什么是 SonarQube ?

(資料圖)

SonarQube 是一種自動(dòng)代碼審查工具，用于檢測(cè)代碼中的錯(cuò)誤、漏洞和代碼問(wèn)題。

2）SonarQube 能幫助我們做什么？

它可以與我們現(xiàn)有的工作流程集成，以實(shí)現(xiàn)跨項(xiàng)目分支和拉取請(qǐng)求的持續(xù)代碼檢查。

SonarQube 與 Azure DevOps 的集成允許我們?cè)?Azure DevOps 存儲(chǔ)庫(kù)中維護(hù)代碼質(zhì)量和安全性。同時(shí)支持Azure DevOps Server （本地）和 Azure DevOps Services （云端）。在 Azure Pipelines 作業(yè)中運(yùn)行的 SonarQube 擴(kuò)展可以自動(dòng)檢測(cè)正在構(gòu)建的分支或拉取請(qǐng)求。

重點(diǎn)：SonarQube 也有版本的區(qū)分

SonarQube Cloud：Saas 化的產(chǎn)品，托管在 AWS 上的，無(wú)需擔(dān)心安裝和維護(hù)

SonarQube Server：SonarQube 服務(wù)和數(shù)據(jù)庫(kù)都是需要我們安裝到自己的服務(wù)器或者云端服務(wù)器，這就需要我們自行維護(hù)

兩種產(chǎn)品基本上都涵蓋了支持多種語(yǔ)言的代碼分析，共享相同的底層靜態(tài)分析引擎來(lái)捕獲錯(cuò)誤，漏洞等。那么讓我們正式開(kāi)始今天的內(nèi)容

--------------------Azure DevOps 系列--------------------

1，Azure DevOps（一）基于 Net6.0 的 WPF 程序如何進(jìn)行持續(xù)集成、持續(xù)編譯2，Azure DevOps（二）Azure Pipeline 集成 SonarQube 維護(hù)代碼質(zhì)量和安全性二，正文1，創(chuàng)建 SonarQube 項(xiàng)目

登錄 sonarCoud.io選擇 Azure DevOps 登錄

點(diǎn)擊 “+” 選擇 “Analyze new project” 創(chuàng)建新項(xiàng)目

選擇本次實(shí)驗(yàn)的代碼項(xiàng)目，點(diǎn)擊 “Set Up“ 進(jìn)行設(shè)置

2，配置與 Azure Pipeline 的集成

點(diǎn)擊 ”With Azure DevOps Pipelines“ 開(kāi)始配置

首先需要在 Visual Studio Marketplace 獲取、安裝 SonarCloud 擴(kuò)展

選擇 "Pipelines =》“”Service connection" ，點(diǎn)擊 “New service connection” 添加新的服務(wù)連接

在我們的新的 SonarCloud service connection 輸入以下參數(shù)，參數(shù)也來(lái)源于剛剛在 sonarcloud 上創(chuàng)建好的項(xiàng)目

點(diǎn)擊 “Verify and save”

接下來(lái)就是 Pipeline 中添加 Sonar 的 Task了，打開(kāi)已經(jīng)編輯好的 Azure Pipeline 的 YAML 文件

1）搜索添加 “Prepare Analysis Configuration”

輸入以下參數(shù)

SonarCloud Service Endpoint 選擇：“SonarCloud”

Organization 選擇：“SonarQube_Test”

Project Key：“AllenMaster_NetCore_WPF_Sample”

Project Name："NetCore_WPF_Sample"

點(diǎn)擊 ”Add“

Project Key 可以在 SonarCloud 的項(xiàng)目配置中可以找到

2）搜索添加 “Run Code Analysis” 并添加 Task

3）搜索添加 “Publish Quality Gate Result” 并添加 Task

配置完成后，點(diǎn)擊 ”Save“ 保存 YAML 文件，并將修改內(nèi)容提交到 master 分支

最后，我們可以嘗試運(yùn)行 Pipeline，并在 SonarCloud 上查看代碼分析報(bào)告

報(bào)告了主要有以下幾個(gè)個(gè)指標(biāo)

Bugs ：代碼中的重大 bug 錯(cuò)誤，可能影響到項(xiàng)目的正常運(yùn)行。

Code Smells：無(wú)關(guān)緊要的編碼不規(guī)范問(wèn)題，建議改正，點(diǎn)開(kāi)詳情可以看到規(guī)范的使用案例。

Vulnerabilities：項(xiàng)目中存在的漏洞，需要進(jìn)行改正。

Coverage：項(xiàng)目的單元測(cè)試情況。

Duplications：項(xiàng)目中的重復(fù)代碼塊，建議重構(gòu)。

三，結(jié)尾

使用 sonarqube 分析項(xiàng)目代碼代碼的實(shí)驗(yàn)全部過(guò)程已經(jīng)完成了。大家也多多操作練習(xí)，本文所分享的內(nèi)容也存在著很多我自己的一些理解，有理解不到位的，還希望多多包涵，并且指出不足之處。

github：https://github.com/yunqian44/Standard.Tool.Platform

作者：Allen

版權(quán)：轉(zhuǎn)載請(qǐng)?jiān)谖恼旅黠@位置注明作者及出處。如發(fā)現(xiàn)錯(cuò)誤，歡迎批評(píng)指正。