SonarQube搭建手記

時間 2020-05-18

標籤 sonarqube 搭建手記简体版

原文原文鏈接

前提

這篇文章記錄的是SonarQube服務搭建的詳細過程，應用於雲遷移後的PipleLine的代碼掃描環節。java

筆者有軟件版本升級強迫症，通常喜歡使用軟件的最新版本，編寫此文的時候（2020-05-17）SonarQube的最新版本爲8.3.1。linux

SonarQube簡介

SonarQube是一個代碼質量管理開放平臺，它集成了數千種自動的靜態代碼分析規則，旨在提升開發人員的代碼質量和安全性，使得開發人員編寫更加乾淨，更加安全的代碼。主要提供了三個比較大的功能：sql

代碼可靠性支持：提早捕獲和提示代碼中的錯誤，從而避免未定義的行爲影響到終端用戶。
應用安全支持：修復可能危害到應用程序的漏洞，並經過安全熱點學習AppSec（簡單理解就是會學習和識別新的漏洞）。
技術債務支持：確保管理的代碼庫乾淨而且可維護，以便提升開發人員的開發效率。

目前SonarQube支持27種編程語言，基本上覆蓋了當前主流的編程語言編寫的項目：shell

上面談到的功能可能比較泛，實際上，研發團隊能夠基於SonarQube作下面的事情：數據庫

CI/CD流程加入一個SonarQube掃描的環節。
實施代碼質量閾值，只有經過了這個質量閾值檢測才能進入下一個流程。
代碼質量低於閾值的項目要及時調整對應的代碼。

質量閾值能夠進行自定義，SonarQube中針對每一個項目會有詳細的面板信息，裏面會給出項目當前的健康狀態，不一樣級別漏洞的分類和明細，漏洞對應提交者等多維度的統計信息，方便進行問題的追蹤和修復。舉個例子，筆者在上一家公司項目上線須要跑一個流水線，而SonarQube設定了不一樣等級的閾值，對於老項目，會使用最低等級的閾值：阻斷性的錯誤數量要求爲0，對於一些新的項目，則嚴格要求質量如嚴重性的錯誤要求爲0等，只要沒法經過質量閾值檢查，那麼項目是沒法上線的。編程

SonarQube安裝

通常狀況下，只須要安裝社區版免費的SonarQube服務便可，能夠基於二進制文件安裝或者直接使用Docker下載鏡像啓動，二進制文件安裝的過程比較複雜，由於SonarQube內部依賴內置的ElasticSearch作搜索，在Linux系統中須要添加一個非root用戶，而且修改一些列的系統參數例如系統支持的最大可打開的文件數等等。此外，SonarQube是一個Java應用，須要本地安裝JDK。自SonarQube的7.9版本開始放棄支持MySQL數據庫，8.3.1版本下只支持內存模式、PostgreSQL、Microsoft SQL Server和Oracle四種存儲引擎。筆者調研過，持久化模式下，三種數據庫中PostgreSQL的安裝相對簡便。下面會詳細記錄基於二進制文件安裝SonarQube服務的過程。vim

軟件（系統）	版本
`CentOS`	`7.x`
`OpenJDK`	`11.x`
`PostgreSQL`	`12.x`
`SonarQube`	`8.3.1`

筆者在測試的虛擬機（局域網IP爲192.168.56.200）上關閉了防火牆，若是防火牆開啓須要開放對應的端口號。安全

安裝JDK11

OpenJDK的安裝比較簡單：服務器

mdkir /data/openjdk
cd /data/openjdk
wget https://download.java.net/openjdk/jdk11/ri/openjdk-11+28_linux-x64_bin.tar.gz
## 默認會解壓到/data/openjdk/jdk-11文件夾
tar -zxvf openjdk-11+28_linux-x64_bin.tar.gz

若是系統中沒有默認的JDK，能夠添加到/etc/profile中：maven

vim /etc/profile

## /etc/profile文件中添加下面的內容
export JAVA_HOME=/data/openjdk/jdk-11
export PATH=$JAVA_HOME/bin:$PATH

## 刷新環境變量
source /etc/profile

測試一下：

[root@localhost jdk-11]# java -version
openjdk version "11" 2018-09-25
OpenJDK Runtime Environment 18.9 (build 11+28)
OpenJDK 64-Bit Server VM 18.9 (build 11+28, mixed mode)

安裝PostgreSQL數據庫

PostgreSQL的安裝也相對簡單，官方文檔有十分詳細的步驟：

yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm
yum install -y postgresql12
yum install -y postgresql12-server
/usr/pgsql-12/bin/postgresql-12-setup initdb
systemctl enable postgresql-12
systemctl start postgresql-12

修改/var/lib/pgsql/12/data/pg_hba.conf配置，開放全部Host的訪問：

接着重啓PostgreSQL：

systemctl restart postgresql-12

切換用戶進入PostgreSQL的命令行，而且添加一個新的數據庫用戶sonar和新的數據庫sonar備用：

su postgres
psql -U postgres
CREATE USER sonar WITH PASSWORD 'sonar';
CREATE DATABASE sonar WITH OWNER sonar ENCODING 'UTF8'

這樣就創建了一個名稱爲sonar，用戶名爲sonar而且密碼也是sonar的數據庫。

安裝SonarQube服務

在安裝SonarQube服務以前，能夠參考Prerequisites and Overview調整系統參數，這些參數其實大部分和ElasticSearch有關，查看參數：

## 一個進程能夠擁有的VMA(虛擬內存區域)的數量上限
sysctl vm.max_map_count
## 同時打開的文件數目上限 
sysctl fs.file-max
## 能夠打開的文件描述符的上限
ulimit -n
## 能夠啓動線程的數量上限
ulimit -u

若是當前的會話是root用戶，能夠直接經過下面的命令去修改這四個參數：

sysctl -w vm.max_map_count=262144
sysctl -w fs.file-max=65536
ulimit -n 65536
ulimit -u 4096

不然須要手動修改/etc/security/limits.conf文件，在文件尾部添加：

* soft nofile 65536
* hard nofile 65536
* soft nproc 4096
* hard nproc 4096

修改/etc/sysctl.conf文件，在文件尾部添加：

vm.max_map_count=262144
fs.file-max=65536

/etc/security/limits.conf和/etc/sysctl.conf更新完畢後必須重啓服務器。

接着新增一個用戶sonarqube（根本緣由是ElasticSearch不能用root用戶啓動）：

adduser sonarqube
# 這一步須要輸入密碼，這裏密碼也暫定sonarqube
passwd sonarqube
# 分配權限
chown -R sonarqube:sonarqube /data/sonarqube

接着下載和安裝SonarQube：

mdkir /data/sonarqube
cd /data/sonarqube
wget https://binaries.sonarsource.com/Distribution/sonarqube/sonarqube-8.3.1.34397.zip
uzip sonarqube-8.3.1.34397.zip

修改配置/data/sonarqube/sonarqube-8.3.1.34397/conf/sonar.properties添加下面的屬性：

sonar.jdbc.username=sonar
sonar.jdbc.password=sonar
sonar.jdbc.url=jdbc:postgresql://localhost:5432/sonar

完成全部配置以後，能夠嘗試控制檯啓動SonarQube服務：

cd /data/sonarqube/sonarqube-8.3.1.34397/bin/linux-x86-64
./sonar.sh console

若是啓動正常，日誌以下：

而後Ctrl C退出控制檯，使用./sonar.sh start後臺啓動SonarQube服務便可。

這裏歸類一下可能會遇到的問題：

提示root用戶不能啓動的問題，是由於ElasticSearch不容許使用root用戶啓動，新建一個普通用戶便可。
提示部分文件夾無訪問權限，通常是由於新建的普通用戶沒有分配SonarQube所在目錄的寫權限。
提示文件描述符或者線程數量限制，通常是由於沒有修改vm.max_map_count、fs.file-max、ulimit -n和ulimit -u參數致使。

SonarQube使用

SonarQube管理員的初始化帳號密碼都爲admin，若是須要修改密碼或者分配不一樣權限的用戶，能夠在管理員的菜單欄中完成。

訪問http://192.168.56.200:9000進入SonarQube的WebUI，能夠先到插件市場安裝一個漢化插件Chinese Pack，安裝插件完成後重啓服務便可實現漢化。

SonarQube提供不一樣類型的SonarScanner用於代碼掃描和結果提交，這裏以Maven爲例。Maven的settings.xml須要引入下面的配置（注意父標籤已經存在，重複添加父標籤會致使異常）：

<settings>
    <pluginGroups>
        <pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
    </pluginGroups>
    <profiles>
        <profile>
            <id>sonar</id>
            <activation>
                <activeByDefault>true</activeByDefault>
            </activation>
            <properties>
                <!-- Optional URL to server. Default value is http://localhost:9000 -->
                <sonar.host.url>
                  <!-- 這個位置須要替換成SonarQube服務地址，例如http://192.168.56.200:9000 -->
                  http://myserver:9000
                </sonar.host.url>
            </properties>
        </profile>
     </profiles>
</settings>

須要被掃描的項目中，須要引入Maven插件sonar-maven-plugin，當前最新版本爲：

<plugin>
    <groupId>org.sonarsource.scanner.maven</groupId>
    <artifactId>sonar-maven-plugin</artifactId>
    <version>3.7.0.1746</version>
</plugin>

完成配置後，只須要在項目中執行命令進行掃描便可，首次執行會比較緩慢，由於須要下載大量的規則庫和插件：

# 不指定插件版本執行
mvn clean install
mvn sonar:sonar

# 或者指定插件版本執行
mvn org.sonarsource.scanner.maven:sonar-maven-plugin:${插件的版本號}:sonar

此外，能夠經過pom文件中的<properties>指定SonarQube的參數，如：

<properties>
   <sonar.host.url>[...]</sonar.host.url>
   <ssonar.projectKey>[...]</sonar.projectKey>
   <sonar.projectName>[...]</sonar.projectName>
   <sonar.projectVersion>[...]</sonar.projectVersion>
   <sonar.login>[...]</sonar.login>
   <sonar.password>[...]</sonar.password>
   <sonar.sourceEncoding>[...]</sonar.sourceEncoding>
   ......
</properties>

項目掃描結果提交後，能夠在http://192.168.56.200:9000/projects看到項目列表：

點擊進去就能夠看到項目掃描後的詳細報告和統計：