1、sonarqube简介

Sonar (SonarQube)是一个开源平台，用于管理源代码的质量。 Sonar 不只是一个质量数据报告工具，更是代码质量管理平台。 支持java, JavaScrip, Scala 等等二十几种编程语言的代码质量管理与检测。 SonarQube®是一种自动代码审查工具，用于检测代码中的错误，漏洞和代码异味。它可以与您现有的工作流程集成，以便在项目分支和拉取请求之间进行连续的代码检查。

官网：
https://www.sonarsource.com/products/sonarqube/

原理架构，这里不多说了，网上一大把，咱们直接开干就完了。

2、sonarqube搭建

官方文档：
https://docs.sonarsource.com/sonarqube/latest/

2.1、 docker安装快速搭建

我这里选择docker搭建，比较简单。官方提供docker-compose.yml文件，直接复制即可。

我是Linux服务器，创建一个文件夹，放docker-compose文件。

#创建文件夹
mkdir sonarqube
#进入文件夹
cd sonarqube
#创建docker-compose文件
vim docker-compose.yml

复制以下内容即可。

version: "3"
services:
  sonarqube:
    image: sonarqube:community
    hostname: sonarqube
    container_name: sonarqube
    depends_on:
      - db
    environment:
      SONAR_JDBC_URL: jdbc:postgresql://db:5432/sonar
      SONAR_JDBC_USERNAME: sonar
      SONAR_JDBC_PASSWORD: sonar
    volumes:
      - sonarqube_data:/opt/sonarqube/data
      - sonarqube_extensions:/opt/sonarqube/extensions
      - sonarqube_logs:/opt/sonarqube/logs
    ports:
      - "9000:9000"
  db:
    image: postgres:13
    hostname: postgresql
    container_name: postgresql
    environment:
      POSTGRES_USER: sonar
      POSTGRES_PASSWORD: sonar
      POSTGRES_DB: sonar
    volumes:
      - postgresql:/var/lib/postgresql
      - postgresql_data:/var/lib/postgresql/data

volumes:
  sonarqube_data:
  sonarqube_extensions:
  sonarqube_logs:
  postgresql:
  postgresql_data:

最后用docker-compose启动

sudo docker compose up -d

查看是否启动

sudo docker compose ps -a

上图显示已经成功启动了。

2.2、 启动失败原因及解决

有时候启动失败，sonarqube一直在restart重启状态。

查看日志：

sudo docker compose logs sonarqube

可以看到是配置太低，max virtual memory 最大虚拟内存太低。

修改内存:

sudo sysctl -w vm.max_map_count=262144

修改完成后，即可成功启动。

但是该设置只会在会话期间有效。如果主机重新启动，该设置会重置。

如果你想永久设置这个，你需要编辑/etc/sysctl.conf并设置vm.max_map_count为262144。

当主机重新启动时，可以通过以下命令来验证设置是否仍然正确。

sysctl vm.max_map_count

3、sonarqube配置及分析测试

确保服务器9000端口开发，通过浏览器 IP:9000 端口即可访问。

默认账号密码：admin admin

3.1、更改语言

默认是英文，但是市场提供中文插件使用。

在插件Plugins搜索Chinese， 安装Chinese Pack中文包即可。

安装完，会自动重启，重启完成后，就是中文界面了。

3.2、创建项目分析测试

创建一个本地测试项目，新增项目 >> 手工

自己填写测试名称。

其他默认，或者根据自己环境选择，完成后，即可选择分析方法。现在测试还没集成其他系统，所以可以选择 其他Ci，进行测试。

其他ci，创建令牌，可以创建项目令牌，也可以用已经存在从令牌（在用户账号创建的永久令牌）。

下一步，会有提示，选择自己项目语言，代码系统

我这里是Linux，按步骤

下载并解压 Linux 平台的扫描器

export SONAR_SCANNER_VERSION=5.0.1.3006
export SONAR_SCANNER_HOME=$HOME/.sonar/sonar-scanner-$SONAR_SCANNER_VERSION-linux
curl --create-dirs -sSLo $HOME/.sonar/sonar-scanner.zip https://binaries.sonarsource.com/Distribution/sonar-scanner-cli/sonar-scanner-cli-$SONAR_SCANNER_VERSION-linux.zip
unzip -o $HOME/.sonar/sonar-scanner.zip -d $HOME/.sonar/
export PATH=$SONAR_SCANNER_HOME/bin:$PATH
export SONAR_SCANNER_OPTS="-server"

有时报错，是因为有些服务器默认没有安装 unzip，安装即可

sudo apt install unzip

在 CI 设置中配置 SONAR_TOKEN 环境变量，手动测试的话，直接运行命令

export SONAR_TOKEN=sqa_a86082a9c873beac422fb99c252094057312d29f

然后在代码文件夹用命令启动扫描器就行了。

sonar-scanner \
  -Dsonar.projectKey=test111 \
  -Dsonar.sources=. \
  -Dsonar.host.url=http://192.168.200.55:9000

项目结果分析

扫描仪分析完后，页面会自动刷新，并输入相关结果

4、sonarqube集成gitlab ci

上面是手动测试分析，但企业代码一般都在gitlab上，所以要设置集成gitlab

4.1、SonarQube与GitLab账号打通

gitlab配置

在账号配置 >> 应用 里，添加 新应用

名称：您的应用程序名称，例如 SonarQube；

重定向 URI ： 输入SonarQube地址，后面加上固定路径：/oauth2/callback/gitlab。例如，
https://sonarqube.example.com/oauth2/callback/gitlab；

最后把下面几个勾上就足够了。

保存后，就可以看到应用ID和密码

SonarQube配置

打开，在配置 >> ALM集成 >> gitlab >> 创建配置

把刚才gitlab拿到的应用ID和密钥，以及gitlab地址填上即可

这里需要点上，打开，同步gitlab账户即可。

最后还有一个地址需要填上，否则登录出现“错误的重定向地址”,需要修改“通用”中Server base URL,确保登录地址、GitLab中配置的重定向地址、和sonarqube这里的base url 三个地址一致；即自己的sonarqube地址。

配置完后，退出账号，已经有通过gitlab登录选择了，测试登录成功即可。

4.2、GitLab和SonarQube项目集成

项目在gitlab有很多，如果手动一个一个导太费劲，所以需要gitlab项目集成。

gitlab配置

创建个人访问令牌，在 设置 >> 访问令牌 >> 创建新令牌。

注： 账号需要有项目的管理权限才能看到项目。

写上名称，勾上下面4个就够了，最后生成令牌即可。

SonarQube配置

在同样的地方，在配置 >> ALM集成 >> gitlab

在弹出框中，输入上步生成的个人访问令牌，GitLab地址为gitlab的api地址，以/api/v4结尾的地址。

这里项目集成就配置完成了。

最后可以直接在项目导入gitlab项目了。

5、 配置GitLab CI 自动化检测提交

最终效果：开发人员提交代码到gitlab仓库后，触发master分支自动合并任务，并进行代码扫描（可改成其他测试分支），扫面结果返回到sonarqube平台

5.1、gitlab-runner配置

GitLab Runner 是一个开源项目，用于运行您的作业并将结果发送回 GitLab。它与 GitLab CI 结合使用，GitLab CI 是 GitLab 随附的用于协调作业的开源持续集成服务。

可以理解为在gitlab里面的巡逻小队，随时监控里面的动作并将结果发送到gitlab。

安装gitlab-runner

gitlab 和 gitlab runner可以分开配置，为了不占用gitlab服务器的资源，可以单独把runner安装到另一台服务器。官方安装文档：
https://docs.gitlab.com/runner/install/

可以直接用命令安装到服务器

sudo apt -y install gitlab-runner

也可以用docker安装如下：

docker run -d --name gitlab-runner --restart always \
  -v /srv/gitlab-runner/config:/etc/gitlab-runner \
  -v /var/run/docker.sock:/var/run/docker.sock \
  gitlab/gitlab-runner:latest

创建注册gitlab-runner

安装完成后，需要在gitlab创建runner，并用runner注册。相当于把gitlab和runner联系起来。

打开gitlab需要集成的项目。在 设置 >> CI/CD >> Runners，没有的话就 新建项目runner。

我这里以前已经创建过了，所以有一个可以使用的。

shared runners 可以自己选择这个项目单独使用这个runner还是和其他项目共享，其他项目也可以使用这个runner，就不需要在重建runner了

创建完成后，按提示命令，在服务器注册。

在gitlab-runner服务器，运行命令：

gitlab-runner register --url http://gitlab.example.com --token glrt-zmaQxxuNRCWpJH49hivx

注册需要填写的3个信息：

1：自己或者公司的gitlab地址

2：runner名称

3：构造器（简单点的可以选择shell），我这里构造器因为sonarqube给的扫描器是docker镜像，所以选择docker。

注册成功后，返回页面，可以看到有个绿色的runner激活成功。

5.2、sonarqube配置

sonarqube比较简单，按提示即可。

选择项目 >> ci分析方式 >> 使用gitlab ci

创建令牌或者使用自己创建的永久令牌

下面这些直接复制到gitlab即可。

5.3、gitlab配置

设置变量

在 设置 >> ci/cd >> 变量中，添加两个变量

SONAR_HOST_URL 值为 sonarqube 的ip地址或者域名，如： 192.168.200.100:9000。

SONAR_TOKEN 值为上面sonarqube创建的令牌。

创建ci文件

在项目根目录下创建文件sonar-project.properties

这个文件是关于sonarqube扫描相关的配置，如路径，是否合适然后继续下一步。项目语言不用，用的参数也有所不用，参考官方文档
:https://docs.sonarsource.com/sonarqube/latest/analyzing-source-code/analysis-parameters/

sonar.projectKey=Bao_test_9c0e2e6d-b205-4713-9017-6b0814bc9799
sonar.qualitygate.wait=true

创建完成后，再次在根目录创建 .gitlab-ci.yml文件

sonarqube完整代码有两个过程，

1：是检查发送到sonarqube平台（sonarqube-check）。

2：是产生报告（
onarqube-vulnerability-report）。

但是第2个功能是gitlab企业版本才有的，我们如果的社区免费版就没有这个功能，所以可以删除掉后的
sonarqube-vulnerability-report部分。如果你是企业版就没必要删除了。

stages:
    - sonarqube-check
    - sonarqube-vulnerability-report

sonarqube-check:
  stage: sonarqube-check
  image: 
    name: sonarsource/sonar-scanner-cli:5.0
    entrypoint: [""]
  variables:
    SONAR_USER_HOME: "${CI_PROJECT_DIR}/.sonar"  # Defines the location of the analysis task cache
    GIT_DEPTH: "0"  # Tells git to fetch all the branches of the project, required by the analysis task
  cache:
    key: "${CI_JOB_NAME}"
    paths:
      - .sonar/cache
  script: 
    - sonar-scanner
  allow_failure: true
  only:
    - merge_requests
    - master
    - main
    - develop

sonarqube-vulnerability-report:
  stage: sonarqube-vulnerability-report
  script:
    - 'curl -u "${SONAR_TOKEN}:" "${SONAR_HOST_URL}/api/issues/gitlab_sast_export?projectKey=Bao_test_85d0e97e-0a9d-4aac-ba43-b1d058643dae&branch=${CI_COMMIT_BRANCH}&pullRequest=${CI_MERGE_REQUEST_IID}" -o gl-sast-sonar-report.json'
  allow_failure: true
  only:
    - merge_requests
    - master
    - main
    - develop
  artifacts:
    expire_in: 1 day
    reports:
      sast: gl-sast-sonar-report.json
  dependencies:
    - sonarqube-check

现在基本配置完成了。

5.4、提交代码测试

在项目提交代码后测试。

在构建 >> 管道 可以看到正在执行的任务。绿色代表执行完成并通过。

打开sonarqube，刚才自动检测的结果也已经发送过来了

到这里就基本结束了，扫描完后，还有自动部署到服务器的ci/cd。可以用gitlab的ci/cd自动部署，也可以用其他的，我感觉drone比较简单。可以参考我以前的文章：使用GitLab+Drone CI持续集成自动部署web项目