Sonar系列之SonarQube简介（一）

一、sonar简介

sonar是一款静态代码质量分析工具，支持Java、Python、PHP、JavaScript、CSS等25种以上的语言，而且能够集成在IDE、Jenkins、Git等服务中，方便随时查看代码质量分析报告；

sonar通过配置的代码分析规则，从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目，风险等级从A~E划分为5个等级；

同时，sonar可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来检验代码质量；

 sonar设置了质量门，通过设置的质量门评定此次提交分析的项目代码是否达到了规定的要求；

 

二、sonar的组成

一个sonar项目主要有以下四个组件构成：

1. 一台SonarQube Server启动3个主要过程：

   • Web服务器，供开发人员，管理人员浏览高质量的快照并配置SonarQube实例
   • 基于Elasticsearch的Search Server从UI进行后退搜索
   • Compute Engine服务器，负责处理代码分析报告并将其保存在SonarQube数据库中

2. 一个SonarQube数据库要存储：

   • SonarQube实例的配置（安全性，插件设置等）
   • 项目，视图等的质量快照。
3. 服务器上安装了多个SonarQube插件，可能包括语言，SCM，集成，身份验证和管理插件
4. 在构建/持续集成服务器上运行一个或多个SonarScanner，以分析项目；

 三、工作流转

以下架构图为sonar项目的工作流转图

1. 开发人员在其IDE中进行编码，并使用SonarLint运行本地分析。
2. 开发人员将其代码推送到他们最喜欢的SCM中：git，SVN，TFVC等。
3. Continuous Integration Server会触发自动构建，并执行运行SonarQube分析所需的SonarScanner。
4. 分析报告将发送到SonarQube服务器进行处理。
5. SonarQube Server处理分析报告结果并将其存储在SonarQube数据库中，并在UI中显示结果。
6. 开发人员通过SonarQube UI审查，评论，挑战他们的问题，以管理和减少技术债务。
7. 经理从分析中接收报告。Ops使用API​​自动执行配置并从SonarQube提取数据。运维人员使用JMX监视SonarQube Server。