百度总监10分钟带你快速入门Sonar！

1.Sonar的概念：

Sonar的全称是SonarQube，是一种自动代码审查工具，用于检测代码中的错误，漏洞和代码异味。它可以与您现有的工作流程集成，以便在项目分支和拉取请求之间进行连续的代码检查。

2.安装Sonar服务器
在使用Sonar扫描代码之前，需要先安装好postgresql数据库和sonarqube服务，我采用docker的安装方式，具体文档参考这里

Sonar支持三种数据库，这里我选择PostgreSQL

安装PostgreSQL
容器启动成功后，用账号：postgres/postgres 登录测试

docker run -it --name postgres --restart always -e POSTGRES_PASSWORD='postgres' -e ALLOW_IP_RANGE=0.0.0.0/0 -v /opt/postgres/data:/var/lib/postgresql -p 5432:5432 -d postgres


安装sonarqube服务

docker run --rm --name sonarqube \
-p 9000:9000 \
-e SONAR_JDBC_URL=jdbc:postgresql://192.168.1.100:5432/postgres \
-e SONAR_JDBC_USERNAME=postgres \
-e SONAR_JDBC_PASSWORD=postgres \
-v sonarqube_data:/opt/sonarqube/data \
-v sonarqube_extensions:/opt/sonarqube/extensions \
-v sonarqube_logs:/opt/sonarqube/logs \
sonarqube


安装成功后，使用admin/admin账户访问，第一次登录需要修改密码，我修改为：admin123
http://192.168.1.100:9000

3. Maven工程集成sonar
经过测试发现，如果工程中不引入sonar插件也可以，执行mvn命令是会自动下载此插件


org.sonarsource.scanner.maven
sonar-maven-plugin
3.5.0.1254



有两种编译方式

在mvn命令中通过 -D参数指定

mvn clean verify sonar:sonar -Dmaven.test.skip=true -Dsonar.host.url=http://192.168.1.100:9000 -Dsonar.login=admin -Dsonar.password=admin123


在pom.xml中添加配置属性



sonar

true


jdbc:postgresql://192.168.1.100:5432/postgres
org.postgresql.Driver
postgres
postgres
http://192.168.1.100:9000
admin
admin123





因为工程里已经添加了sonar的属性，所以这里就简短了

mvn clean verify sonar:sonar -Dmaven.test.skip=true


登录到sonar ，查看代码扫描结果

这里有几个名词解释下：

1.Bugs
代码里潜在的bug数，比如空指针异常等都能扫描到
vulnerabilities(脆弱性)
代码中存在的安全漏洞数
Hotspots Reviewed
安全热点数

2.code smells
代码之中潜在问题的警示信号，并非所有的坏味道所指示的确实是问题，但是对于大多数坏味道，均很有必要加以查看，并作出相应的修改。

3.coverage
是软件测试中的一种度量，描述程序中源代码被测试的比例和程度，所得比例称为代码覆盖率。在做单元测试时，代码覆盖率常常被拿来作为衡量测试好坏的指标

在这里推荐一个软件测试交流群，qq:642830685,群中会不定期的分享软件测试资源，测试面试题以及行业资讯。大家可以在群中积极交流技术，还有行业大佬为你答疑解惑。