安装postgresql数据库

docker run -d --name postgresql --restart=always -p 5432:5432 -e ALLOW_EMPTY_PASSWORD=yes -e POSTGRESQL_USERNAME=bn_sonarqube -e POSTGRESQL_DATABASE=bitnami_sonarqube bitnami/postgresql:13

安装sonarqube

docker run -d --name sonarqube -p 9000:9000 -e ALLOW_EMPTY_PASSWORD=yes -e SONARQUBE_DATABASE_HOST=192.168.10.213 -e SONARQUBE_DATABASE_PORT_NUMBER=5432 -e SONARQUBE_DATABASE_USER=bn_sonarqube -e SONARQUBE_DATABASE_NAME=bitnami_sonarqube bitnami/sonarqube:9

如果sonarqube启动失败，报错信息中包含max_map_count，可以通过调整系统文件数来修改：

vi /etc/sysctl.conf # 文件最后加上如下内容 vm.max_map_count = 262144

配置工程扫描

使用 bitnami 搭建的 sonarqube 默认账号密码：admin/bitnami，访问 localhost:9000，登录后创建新的工程

填写工程名，并创建令牌，令牌名称建议和工程名相同

生成的令牌ID一定要复制下来，不会再显示第二次，如果没记下就需要重新生成，切记

选择扫描的语言和执行扫描的机器，然后记下生成的扫描命令，执行完扫描后这个页面将自动变为结果页面

下载配置 sonar-scanner

在上面的截图中会有 sonar-scanner 扫描器访问地址，打开以后，根据需求下载对应系统的文件

本来扫描器也是有 docker 镜像可以用的，但是 sonar-scanner 非常简单，基本无需依赖，下载后即可使用，所以我们也就不需要搞 docker 镜像来使用了。我这里使用 Linux 系统下的版本。

执行以下命令配置好 sonar-scanner 的扫描环境：

tar -xvf sonar-scanner-4.6.2.2472-linux.tar mv sonar-scanner-4.6.2.2472-linux /usr/local ln -s /usr/local/sonar-scanner-4.6.2.2472-linux/bin/sonar-scanner /usr/bin/sonar-scanner

扫描仓库代码

配置好扫描器后，我们就可以使用 sonar-scanner 来扫描我们的指定库代码了

下载代码

使用 git 命令将代码下载到和 sonar-scanner 在同一台机器上

cd /home/code git clone git@gitee.com:small_bud_star/xxxxxx.git

执行扫描命令

进入到代码目录下，执行工程创建时提供给我们的扫描命令

sonar-scanner -Dsonar.projectKey=databoard -Dsonar.sources=. -Dsonar.host.url=http://10.10.8.252:9000 -Dsonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e

执行结果如下

扫描命令中的参数解释：

• projectKey: 我们创建项目时填的项目名称
• sources：扫描的目录，一般我们都是进入工程目录下进行扫描，如果在非根目录下执行扫描命令，还需要配合其他的参数才可以
• host.url：sonarqube 服务器地址
• login：创建项目时生成的令牌，但是也可以增加一个参数 password，通过用户名和密码进行扫描

在实际项目使用中，我们建议在项目根目录创建 sonar-project.properties 文件来配置扫描参数，以上扫描命令配置如下：

sonar.host.url=http://10.10.8.252:9000 sonar.sources=. sonar.projectKey=databoard sonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e

然后进入项目根目录，输入sonar-scanner 就可以了

忽略规则配置

每一种开发语言都有很多扫描规则，因此误报的可能性也很大，sonarqube 为我们提供了忽略规则的配置。打开项目规则配置：

忽略配置包括以下类型

• 排除指定目录：sonar.exclusions

排除public 下的所有文件及其子目录下的文件

• 包含指定目录：sonar.inclusions

只扫描src目录下的文件

• 不需要检测重复代码的文件：sonar.cpd.exclusions

不检查src/assets目录下的所有文件重复度

• 包含指定规则的文件不参与扫描：sonar.issue.ignore.allfile

文件中包含 sonarqube disable 字符串的文件不参与扫描，这样我们就可以对一些特殊文件进行排除，字符串由我们自己定义

• 指定的代码块不参与扫描：sonar.issue.ignore.block

从包含@layer的行到包含@endlayer的行之间的所有代码不进行扫描，对于一些误检或者我们不想改变的代码，可以自定义两个标记把他们包含起来，这样这些代码就不会参与扫描了

• 在指定文件中不检查某些规则：sonar.issue.ignore.multicriteria

项目目录下的所有ts文件不执行squid:S1195扫描规则

• 在指定文件中只检查某些规则：sonar.issue.enforce.multicriteria

在login/index.js文件中只检查javascript:S1195规则，不检查其他规则

以上配置是在sonarqube服务器上，我们更推荐另外一种方式，即在项目目录下 sonar-project.properties文件中进行配置，配置如下：

sonar.host.url=http://10.10.8.252:9000 sonar.sources=. sonar.projectKey=databoard sonar.login=60f6c402242a93ba5982a1f9f4084937aba9fd5e sonar.exclusions=public/**/* sonar.issue.ignore.multicriteria=e1,e2 sonar.issue.ignore.multicriteria.e1.ruleKey=Web:ImgWithoutAltCheck sonar.issue.ignore.multicriteria.e1.resourceKey=**/* sonar.issue.ignore.multicriteria.e2.ruleKey=Web:BoldAndItalicTagsCheck sonar.issue.ignore.multicriteria.e2.resourceKey=**/* sonar.issue.ignore.block=e1,e2 sonar.issue.ignore.block.e1.beginBlockRegexp=@layer sonar.issue.ignore.block.e1.endBlockRegexp=@layer sonar.issue.ignore.block.e2.beginBlockRegexp=:deep sonar.issue.ignore.block.e2.endBlockRegexp=:deep

VSCode配置 sonarlint 扫描

上面安装配置好了Sonarqube以后，我们还可以安装sonarlint插件进行编程支持，这个插件的作用是在我们开发代码的过程中实时的显示当前编辑代码的异常情况，在插件中配置sonarqube服务器的作用是可以使用sonarqube服务器中的规则进行代码检查，并不是使用云端sonarqube进行代码检查。

安装 Jre 运行环境

• 下载 jdk

java 11 以后没有单独的jre安装包，需要安装jdk，然后通过命令生成

https://www.oracle.com/java/technologies/downloads/

• 安装 JDK

• 生成 Jre 目录

进入JDK安装目录C:Program FilesJavajdk-17.0.2，执行以下命令

binjlink.exe --module-path jmods --add-modules java.desktop --output jre

生成的 Jre 目录在 C:Program FilesJavajdk-17.0.2jre

安装 sonarlint 并配置

在应用商店中搜索 SonarLint

安装完后点击设置按钮，进入扩展设置

选择在settings.json 中编辑

将以下信息配置在文件最下面：

"sonarlint.connectedMode.connections.sonarqube": [ { "serverUrl": "http://10.10.8.252:9000", "token": "60f6c402242a93ba5982a1f9f4084937aba9fd5e" } ], "sonarlint.connectedMode.project": { "projectKey": "databoard" }, "sonarlint.ls.javaHome": "C:Program FilesJavajdk-17.0.2jre", "sonarlint.ls.vmargs": "-Xmx1024m", "sonarlint.pathToNodeExecutable": "E:Programnodejsnode.exe"