Sonar系列之SonarQube简介（一）

⼀、sonar简介

sonar是⼀款静态代码质量分析⼯具，⽀持Java、Python、PHP、JavaScript、CSS等25种以上的语⾔，⽽且能够集成在IDE、Jenkins、Git等服务中，⽅便随时查看代码质量分析报告；

sonar通过配置的代码分析规则，从可靠性、安全性、可维护性、覆盖率、重复率等⽅⾯分析项⽬，风险等级从A~E划分为5个等级；同时，sonar可以集成pmd、findbugs、checkstyle等插件来扩展使⽤其他规则来检验代码质量； sonar设置了质量门，通过设置的质量门评定此次提交分析的项⽬代码是否达到了规定的要求；

⼆、sonar的组成

⼀个sonar项⽬主要有以下四个组件构成：1. ⼀台SonarQube Server启动3个主要过程：

Web服务器，供开发⼈员，管理⼈员浏览⾼质量的快照并配置SonarQube实例基于Elasticsearch的Search Server从UI进⾏后退搜索

Compute Engine服务器，负责处理代码分析报告并将其保存在SonarQube数据库中

2. ⼀个SonarQube数据库要存储：

SonarQube实例的配置（安全性，插件设置等）项⽬，视图等的质量快照。

3. 服务器上安装了多个SonarQube插件，可能包括语⾔，SCM，集成，⾝份验证和管理插件4. 在构建/持续集成服务器上运⾏⼀个或多个SonarScanner，以分析项⽬； 三、⼯作流转

以下架构图为sonar项⽬的⼯作流转图

1. 开发⼈员在其IDE中进⾏编码，并使⽤运⾏本地分析。

2. 开发⼈员将其代码推送到他们最喜欢的SCM中：git，SVN，TFVC等。

3. Continuous Integration Server会触发⾃动构建，并执⾏运⾏SonarQube分析所需的SonarScanner。4. 分析报告将发送到SonarQube服务器进⾏处理。

5. SonarQube Server处理分析报告结果并将其存储在SonarQube数据库中，并在UI中显⽰结果。6. 开发⼈员通过SonarQube UI审查，评论，挑战他们的问题，以管理和减少技术债务。

7. 经理从分析中接收报告。Ops使⽤API⾃动执⾏配置并从SonarQube提取数据。运维⼈员使⽤JMX监视SonarQube Server。