sonarqube社区版和企业版,sonar和sonarqube

sonar 哪个版本好用？

我只用过578，X1下好了，正打算试用……

5不建议用，VSTI稳定性太挫了

6没用过，不过外界风评比5好多了……

7是我用过的3个版本里稳定性最好的，但是对配置要求比较高

8跟7比最大的改进就是降低了配置要求，但是它跟我学校里的声卡驱动冲突（跟创新声卡的某核心文件有冲突），家里的声卡不是创新的，不冲突

X1是SONAR最新版本~~听说跟以前几代比变化很大，正打算试用，目前外界评价还不错~~

SonarQube使用方法

Sonar是一个用于代码质量管理的开源平台，用于管理源代码的质量，通过插件形式可以支持包括java,C#,C/C++,PL/SQL等等二十几种编程语言的代码质量管理与检测

使用方法

指标：

Bugs表示系统在运行中因为程序本身有错误而造成的功能不正常、死机、数据丢失、非正常中断等现象；

漏洞表示系统存在安全隐患容易被攻击；

坏味道表示不好的编码习惯；

重复率表示代码中存在有相同的代码，这样不利于维护。

查看检查出的错误：

查看检查后的错误信息

IDEA中配置Sonar

1、安装Sonarlint

2、配置Sonar

Token：a9f8937c33a5ac39dfe459ecacc6ecceb0a4da95

配置完成后

点击SonarLint显示

Sonar的构建时间

每周五晚上11点定时构建，同时每次提交代码至SVN后在当天晚上的11点自动构建

sonarqube功能介绍

1）大致有如下功能

2）

3）

4

5

6

7

8

9

SonarQube8.8部署(CentOS 7)

1.? 将sonarqube8.8文件夹移动到/sur/local/ 中，使用命令mv ~/sonarqube8.8 /sur/local/? /usr/local?

2.? ?设置用户权限，su切换root用户，切换后进行用户权限设置，命令如下：chmod –R 777文件夹 （设置好权限后，才具备权限启动服务）

3.? ?执行sonarqube中，bin目录中的sonar.sh文件，具体命令如下：/……/bin/linux-x86-64/sonar.shstart?（注意，偶尔重启系统会遇到启动后无法访问的问题，需重新执行一下步骤2）

4.? ?在Linux系统中访问， ，默认账号密码均为admin

5.? ? 若想要在外部（Windows上）进行访问（同一局域网），关闭Linux防火墙即可

6.? ? 关闭防火墙后，查看当前系统的ip，输入 ip addr，即可查看相关的ip，故当前访问链接为

汉化可以参考 ，可在window上汉化，在将整一个sonarqube文件夹拉进CentOS7中，也可以在CentOS7中将文件置于对应的文件夹

解决CentOS7中ens33不显示ip的问题，在终端键入命令如下，发现出现以下问题

分析：由于ens33网卡没有激活，切换root用户，输入ifup ens33，激活后即可

sonarqube是哪个国家的

sonarqube是美国的。

SonarQube 最初是作为源代码质量分析工具诞生的，然后迅速成为最常用的 DevOps 工具之一，用于获取有关编码最佳实践、约定和代码性能的建议。

最近在 2018 年，添加了一些安全功能。随着时间的推移，由于应用程序安全测试 (AST) 工具的普遍采用以及对发布安全代码的重要性的更高认识，SonarQube作为安全工具的受欢迎程度也有所提高。SonarQube 是一个开源版本和几个商业产品，包括一个企业版本。

SonarQube 包含一组静态分析 (SAST)规则，用于查找应用程序代码中的安全漏洞，但SonarQube 不是专门为安全分析构建的解决方案。作为参考，在 600 多条 Java 规则中，不到 50 条规则被视为安全漏洞。

静态分析 (SAST) 的工作原理是查看应用程序的源代码并模拟应用程序的执行以查找可能表明存在安全风险的可疑模式。SonarQube 使用静态污点跟踪，这有助于发现一些比简单的正则表达式匹配更细微的风险，但众所周知会产生大量的误报，必须由专家手动验证才能对开发人员有所帮助。

一些高级静态数据流技术在开源版本中不可用，需要付费的企业许可证订阅。

Sonar实践问题记录(六)webhook

sonarqube7.6 webhook

使用SonarScanner扫描结束后，会将结果提交给SonarQube，其中的Computer Engine会负责分析数据——这会消耗一定的时间。尤其是免费版本只支持一个Worker工作，不可避免会有排队现象。

项目之前的实现，会使用API /api/ce 轮询查找提交任务的结果。

显然webhook是正确的方式。

支持定制化参数，在scanner的参数里增加 sonar.analysis.* 的格式即可。下面是一个payload样例，定制化内容会在properties字段里记录。