SonarQube系列-架构与外部集成

介绍

Sonar是一个基于Java开发的开源代码质量管理平台，支持包括Java、C#、JavaScript在内的二十余种编程语言。它提供社区版和付费版本，旨在提升代码质量和安全性。

SonarQube之采购选型参考

SonarQube的主要优势包括提前捕获代码错误、修复潜在漏洞以及确保代码库的可维护性。它可以轻松集成到CI/CD管道，支持Maven和Gradle构建周期，检查代码的多个方面，如质量、格式、变量声明等。

研发团队可以通过SonarQube在CI/CD流程中加入代码扫描环节，实施代码质量阈值检测，及时调整不达标的代码。SonarQube提供详细面板信息，包括健康状态、漏洞分类、提交者等，有助于追踪和修复问题。

组成

1、SonarQube服务器

作为服务端，SonarQube服务器发布应用，提供在线浏览和配置分析等功能。集成ElasticSearch和计算引擎，处理和存储代码分析报告。

• bin：运行命令文件夹
• conf：配置文件夹
• data：嵌入式数据库数据（H2）
• extensions：插件存放文件夹
• lib：运行库文件夹（jar）
• logs：日志文件夹
• temp：临时文件夹
• web：系统UI界面文件夹

2、SonarQube数据库

用于存储代码分析数据报告，支持多种数据库系统。

3、Sonarqube-Scanner

客户端工具，用于扫描项目并上传结果到服务器。

4、SonarQube Plugins

通过插件增强平台功能，包括SCM、集成、身份验证、管理维护等类别。

外部集成

SonarQube集成其他ALM工具，通过SonarLint在IDE中进行本地分析后推送至SCM。CI服务器触发构建，执行SonarQube分析，结果处理后在UI中展示。开发人员可以管理技术债务，管理者可以获取分析报告和监控数据。

SonarLint

SonarLint是SonarQube的IDE插件，提供即时代码质量反馈。为了最佳性能，建议将SonarQube服务器和数据库安装在单独的专用主机上，并保持在同一网络中。