安装
直接docker-compose整起
version: '3'
services:
# 使用 PostgreSQL 作为 SonarQube 的持久化方案
# 注:由于 SonarQube 7.9 及之后的版本不支持 MySQL,因此 MySQL 不作为考虑对象
postgres:
image: postgres:12
container_name: sonarqube_postgres
privileged: true
ports:
- "5432:5432"
networks:
- sonarnet
restart: always
# 将 PostgreSQL 数据文件存放至宿主机
volumes:
- ./postgres:/var/lib/postgresql/data
environment:
POSTGRES_DB: sonar
POSTGRES_USER: sonar
POSTGRES_PASSWORD: sonar
sonarqube:
image: hub4rpi64/sonarqube:8.3.1.34397
#image: hub4rpi64/sonarqube:7community
container_name: sonarqube
privileged: true
ports:
- "9000:9000"
restart: always
networks:
- sonarnet
depends_on:
- postgres
# 将 SonarQube 日志文件、数据文件、配置文件、扩展插件存放至宿主机
volumes:
- ./data:/opt/sonarqube/data
- ./extensions:/opt/sonarqube/extensions
- ./logs:/opt/sonarqube/logs
- ./conf:/opt/sonarqube/conf
#- ./lib:/opt/sonarqube/lib
# 配置 SonarQube 的数据源,本例为 PostgreSQL
environment:
SONAR_JDBC_USERNAME: sonar
SONAR_JDBC_PASSWORD: sonar
SONAR_JDBC_URL: jdbc:postgresql://postgres:5432/sonar?useUnicode=true&characterEncoding=utf8
# 由于 SonarQube 内部会启动 ElasticSearch,因此需要此配置
ulimits:
nproc: 65535
nofile:
soft: 65536
hard: 65536
networks:
sonarnet:
driver: bridge
由于是在arm架构部署,所以我用的镜像不是官方的,environment的变量与官方不同,需要注意
下载插件
中文插件
https://github.com/xuhuisheng/sonar-l10n-zh
对应版本自个找
gitlab插件
# 最高4.1.0
https://github.com/gabrie-allaigre/sonar-gitlab-plugin
# 4.2.0
https://github.com/javamachr/sonar-gitlab-plugin/releases/tag/4.2.0
对应版本自个找
分支插件
https://github.com/mc1arke/sonarqube-community-branch-plugin
对应版本自个找
配置插件
将插件放到extensions/plugins目录下,重新启动sonarQube即可
注意:分支插件比较特殊,还需要将插件拷贝到容器的lib/common中
docker cp sonarqube-community-branch-plugin.jar <容器id>:/opt/sonarqube/lib/common
也可以直接在docker-compose配置卷
volumes:
- ./sonarqube-community-branch-plugin.jar:/opt/sonarqube/lib/common/sonarqube-community-branch-plugin.jar
SonarQube控制台
配置质量规则
由于执行代码检测前需要有质量规则,不然鬼晓得怎么检测
在控制台:配置——> 应用市场
搜索插件:Java Code Quality and Security, 安装
找不到直接搜索java, 找到描述是Code Analyzer for Java的
安装完重启sonarQube
控制台经常安装转圈圈,转着转着就没了,想知道插件是否在下载,进入sonar安装目录,extensions/downloads,可以看到.tmp的文件,
ll命令查看文件大小,看看是不是一直在变
配置gitlab
控制台:配置->配置 -> gitlab
- 修改GitLab url
- gitlab user token
user token 生成方式:
http://{gitlab}/profile/personal_access_tokens
配置ALM
控制台:配置->配置 -> ALM -> gitlab
生成个人token: http://{gitlab}/profile/personal_access_tokens
生成appid 和secret: https://{gitlab}/oauth/applications/
配置回调地址: https://{sonar}/oauth2/callback/gitlab
需要先在通用配置中配置 serverBaseUrl:
https://{sonar}
安全审计插件(可选)
应用市场搜
- findBugs
- dependecy-check
新建项目
当与gitlab集成之后,并且开启了组同步功能,有关新增的用户与项目会自动划分的同名的群组下
新建群组
配置 -> 权限 -> 群组
配置权限模板
配置 -> 权限 -> 权限模板 -> 创建模板
填写项目标识,使用正则表达式,使得提交的项目与权限模板像匹配
新建项目
在控制台:右上角,点击+号,新建项目
按照指示来就成
只需在第一次新建项目时使用,主要为了生成一个token,后续可以直接使用token推送项目
JAVA项目配置
配置maven插件
<pluginManagement>
<plugins>
<plugin>
<groupId>org.sonarsource.scanner.maven</groupId>
<artifactId>sonar-maven-plugin</artifactId>
<version>3.7.0.1746</version>
</plugin>
<plugin>
<groupId>org.jacoco</groupId>
<artifactId>jacoco-maven-plugin</artifactId>
<version>0.8.4</version>
</plugin>
</plugins>
</pluginManagement>
<plugins>
<plugin>
<groupId>org.jacoco</groupId>
<artifactId>jacoco-maven-plugin</artifactId>
<executions>
<execution>
<id>prepare-agent</id>
<goals>
<goal>prepare-agent</goal>
</goals>
</execution>
<execution>
<id>report</id>
<goals>
<goal>report</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
配置gitlab-ci
stages:
- sonarqube_analysis
- dependecy-check
variables:
APP_NAME: xxxx
SONAR_TOKEN: xxxx
SONAR_HOST_URL: http://ip:port
# 执行 SonarQube 分析,并将检测结果反馈至 GitLab
sonarqube_analysis:
stage: sonarqube_analysis
script:
- mvn --batch-mode verify -Dmaven.test.skip=true sonar:sonar -Dsonar.projectKey=$APP_NAME -Dsonar.host.url=$SONAR_HOST_URL -Dsonar.login=$SONAR_TOKEN -Dsonar.gitlab.commit_sha=$CI_COMMIT_SHA -Dsonar.gitlab.ref_name=$CI_COMMIT_REF_NAME -Dsonar.branch.name=$CI_COMMIT_REF_NAME -Dsonar.gitlab.project_id=$CI_PROJECT_ID
tags:
- xxx
依赖扫描
这个项目的依赖呀,都是人写的,人写的,就会有漏洞,怎么办,扫呗
- 在gitlab-runner的服务器中安装
denpendecy-check
https://github.com/jeremylong/DependencyCheck/
下个release,装就完啦,比如我下好解压在/opt/sonar目录下
- 配置runner的映射
由于我的ci是docker跑得,所以要有映射
打开runner配置文件:vim /etc/gitlab-runner/config.toml
在volumes项加个映射:/opt/sonar:/opt/sonar
配置ci
stages:
- dependecy-check
# 依赖扫描
dependecy-check:
stage: dependecy-check
script:
- mvn clean package -Dmaven.test.skip=true
- /opt/sonar/dependency-check/bin/dependency-check.sh -s xx.jar -f HTML -o ./java-sec-code-report.html
- mvn --batch-mode verify sonar:sonar -Dsonar.projectKey=$APP_NAME -Dsonar.host.url=$SONAR_HOST_URL -Dsonar.login=$SONAR_TOKEN -Dsonar.dependencyCheck.htmlReportPath=java-sec-code-report.html
when: manual
tags:
- xxx
依赖扫描需要装dependecy-check插件
现在,提交代码,跑个ci看看吧~