本文是《技术管理者---提升研发代码质量》系列文章第二篇，第一篇整体介绍请看博文《技术管理者---提升研发代码质量---总体方法论》。本文重点讲三部分内容：1）sonar是什么，研发体系如何利用sonar提供代码质量；2）开发过程中如何使用Sonar保证代码质量；3）sonar与Jenkins持续集成，持续闭环研发代码质量。

 

Sonar是什么？能干什么？

Sonar是一个用于代码质量管理的开源平台，用于管理源代码的质量 通过插件形式，可以支持包括java,C#,C/C++等多种编程语言的代码质量管理与检测。Sonar可以从以下7个维度检测代码质量：

• 不遵循代码标准：包含CheckStyle,Findbugs等等代码规则检测工具
• 潜在的缺陷：包含CheckStyle,Findbugs等等代码规则检测工具
• 糟糕的复杂度分布：检查过高复杂度的文件、类、方法
• 重复：重复代码检查
• 注释不足或者过多：
• 缺乏单元测试：
• 糟糕的设计：找出包与包、类与类之间相互依赖关系

先放几个Sonar能发现的问题常见问题代码截图：

能够发现Sonar检测出很多研发质量不规范、非常容易出错的地方，作为研发管理者你肯定会想：这么好的工具，我们研发团队一定要使用起来。 这种想法非常好，但一个更关键的问题是：研发团队如何使用Sonar，如何和现有研发流程规范结合起来，这就需要将Sonar检测结果作为现有研发流程中的重要一环，才能让Sonar长期发挥作用。 不然只会出现如下的情况：研发经理说下个版本开始我们使用Sonar检测代码啊，只有检测通过了才行。 相信我，过2个月之后，你将发现没人按照你说的去执行。

要想让Sonar与现有研发流程紧密结合、提升研发质量，我们先来了解一下Sonar家族体系。

然后再来看看Sonar报告发现问题的种类

最后来看作为技术管理者，如何将Sonar作用在研发流程与持续集成环境当中

PS：上面讲解的研发流程维度使用Sonar的方式需要人的参与，不是最好的方案，最好的方案是开发人员在提交代码到Git的时候，自动触发Sonar增量检测，并能将错误信息返回到Git提交客户端，这种方案需要修改Git客户端与服务器端逻辑，代价太大了。目前业界有一种Sonar+Gerrit配合使用，能够达到上面的效果，只是使用Gerrit的代价也较大，需要同步Gerrit与GitLab的仓库、同步账号、同步权限等一系列的同步，非常容易因为同步不成功而导致整个代码提交、打包产生问题。故博主所在公司使用上图中的方案。

下面讲解如上研发体系使用Sonar做静态代码检测的两种整合方案，详细的实施方案。

开发过程中如何使用Sonar保证代码质量

Idea开发中安装Sonar插件《SonarLint-3.4.0.2532.zip》，菜单路径“Idea-->File-->Setting-->Plugins-->Install plugin from disk”，截图如下

安装完成之后，重启Idea，就能看到当前打开文件的检查报告结果，如下：

点击右侧Report，可以检查整个工程Sonar扫描结果

这样每位开发同学在提交代码前都会将本次任务里涉及到的代码做Sonar静态检查，检查通过后截图到自测报告中，完成的规范与研发流程强关联。

 

Sonar与Jenkins持续集成，持续闭环研发代码质量(安装Jenkins、SonarQube，并整合服务每天出自检报告)

安装Jenkins，网络上有很多安装Jenkins的完整文章，读者可以直接参照，本博文里面就不详细介绍了，可以参考：《https://blog.csdn.net/sms15732621690/article/details/71336224》

安装SonarQube服务，网络上也有很多完成的文章，读者可以直接参照，本博文里面就不详细介绍了，可以参考：《https://www.cnblogs.com/ding2016/p/8065241.html》。

这里面有几个坑特别要注意：

• 要想运行SonarQube，操作系统至少要有2G空闲内存，不然服务可能会无缘无故的进程没有，特征如下：

2018.09.06 17:11:31 INFO  app[][o.s.a.SchedulerImpl] Process[ce] is up
2018.09.06 17:11:31 INFO  app[][o.s.a.SchedulerImpl] SonarQube is up
2018.09.06 17:26:39 WARN  app[][o.s.a.p.AbstractProcessMonitor] Process exited with exit value [es]: 137
2018.09.06 17:26:39 INFO  app[][o.s.a.SchedulerImpl] Process [es] is stopped

• 启动好SonarQube的时候，切记把token记录下来，后面在和Jenkins整合的时候需要。

下面介绍Jenkins与SonarQube的整合方式，根据官方文档《https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner+for+Jenkins#AnalyzingwithSonarQubeScannerforJenkins-AnalyzingwiththeSonarQubeScanner》介绍，整合方式4种方式。 博主所在企业实用第一种“Analyzing with the SonarQube Scanner”，大部分的互联网企业，应该是采用第三种” Analyzing with SonarQube Scanner for Maven or Gradle”。下面详细介绍第一种整合方式详细配置过程(也可以先看官方文档做了解)。

• 配置Jenkins系统管理--->插件管理--->安装”SonarQube Scanner for Jenkins”(如下),安装成功后重启Jenkins

• 配置Jenkins系统管理--->系统设置--->配置” SonarQube servers”(如下),注意这里需要应用前面安装SonarQube的Token。 其他的配置正常进行(Java、Git等)

• 新建“构建一个自由风格的软件项目”任务，分别配置好“GitHub”、”源码管理”、”构建触发器”,”构建环境”,”构建类型Execute SonarQube Scanner”分别截图如下：

 

上面的sonar.sources用于设置项目的源码地址，一般实际项目上，源码都是在很多子工程的，所以这里需要写多个，多个源码地址用,号隔开，路径可以使用相对路径。

• 配置完成后点击”立刻构建”构建成功后即可看到结果，可在Jenkins中快速链接到SonarQube中的结果。截图如下：

 

至此，大功告成，让此静态检查持续集成方法，提升你们团队的 代码质量吧。