sonarqube静态安全扫描工具-华克斯

关于sonarqube社区版使用问题及解决方法

1、解决sonarqube平台数据问题

当我们在---使用sonarqube进行代码检查的时候，我们需要让开发人员每次都能看到当前特性分支的扫描分析数据，以尽快解决有问题的代码，提高代码的。开源版本会带来一些问题，因为不支持一个项目多分支的形式，所以我们按照特性分支的名称来生成相对应的扫描项目。（会产生很多sonarqube项目）

虽然解决了数据不稳定的问题，但又间接的带来了一些问题。

对于sonarqube管理员来说很难管理，增加了任务负担。

总结一下如何解决问题呢？

变更代码扫描的模式，比如将每次特性分支扫描的数据关联到提交的commit信息中。

总之蕞简单的方式就是付费购买开发版、企业版。小型团队也可以使用生成多项目的方式管理。

sonarqube组成结构

1. sonarqube platform，就是sonarqube服务器，sonarqube静态安全扫描工具，这是sonarqube运行的基础。

首先解压缩sonarqube的；

---的情况下配置解压缩目录下的sonarqube/conf/sonar.properties文件；

启动sonarqube platform：

   windows下执行startsonar.bat

   linux下执行sonarqube/bin/sonar.sh start c0nsole

启动成功，可登录的用户名和密码为

注意，在实验验证阶段，sonarqube platform默认使用h2数据库；但是在生产环境中，还需要使用mysql等其他企业级数据库服务器。

2. sonarqube scanner，即分析项目代码的默认启动器

首先解压缩sonarqube scanner；

---情况下，配置文件sonar-scanner/conf/sonar-scanner.properties；建议配置如下：

   每次提交前的分析，设置参数sonar.---ysis.mode=preview

   每天都要执行的ci分析，设置参数sonar.---ysis.mode=publish

启动sonarqube scanner：

   windows下执行sonar-scanner.bat

   linux下执行sonar-scanner/bin/sonar-scanner

3.分析项目

首先根据项目代码的编程语言，sonarqube静态安全扫描工具，在线安装---的sonarqube插件，以支持项目使用的编程语言；

然后，cd到要分析的项目目录下，如some/projects/java/myproject/

在项目目录下创建并配置sonar-project.properties文件